Les problèmes juridiques des logiciels indiscrets

Transcription

Benjamin EGRET
ERID 2002
UNIVERSITE MONTPELLIER 1
Faculté de Droit
Année :
N° attribué par la bibliothèque
‫ڤڤڤڤ‬
‫ڤڤڤڤڤڤڤ‬
MEMOIRE de D.E.A Informatique et Droit
Sous la direction
Du Professeur Christian Le Stanc
Présenté par :
Benjamin Egret
Formation Doctorale : Informatique et Droit
Equipe de Recherche Informatique et Droit (E.A.2997)
Section du CNU : 01 Droit privé et sciences criminelles.71 Science de l’information et de la Communication
E.R.I.D.
1
Benjamin EGRET
ERID 2002
REMERCIEMENTS
Je tiens à remercier Monsieur Bibent pour m’avoir donné l’opportunité de suivre
les cours de son DEA ainsi que Monsieur Le Stanc pour sa disponibilité.
2
Benjamin EGRET
ERID 2002
RESUME FRANÇAIS
Le développement conjugué de l’informatique et de l’Internet a engendré de nouveaux
problèmes juridiques ayant pour conséquence la violation des droits et libertés individuelles
des personnes. Dans la société de l’information, les données sont de véritables marchandises
et constituent des enjeux économiques très importants. En effet, les traces laissées par les
internautes à chaque connexion constituent une véritable mine d’informations ce qui a incité
les principaux acteurs présents sur le Web à collecter l’ensemble de ces données. La collecte
de ces données peut prendre différentes formes mais consiste généralement en la création d’un
outil (logiciel) capable de récupérer les données d’un internaute afin notamment de pouvoir
retracer son itinéraire sur Internet ou de créer un profil d’utilisateur (cookies). D’autres
méthodes d’intrusion dans un système informatique peuvent prendre la forme d’un espiogiciel
ou d’un troyen. L’Etat lui-même sera tenté de ficher l’ensemble de la population.
MOTS CLES : Données personnelles / Collecte / Vie privée / Logiciels espions
The legal aspects of spywares
RESUME ANGLAIS
The combined development of computer science and Internet has generated new legal aspects
having as a consequence the violation of people’s rights and individual freedoms. In the
information society, the data are real goods and represent very important stakes. Actually, the
marks left by the surfers at each connection constitute a true mine of information and this has
encouraged the main actors present on the Web to collect all these data. This data collection
can take various forms but usually consists of the creation of a tool (software) able to retrieve
the data from a surfer in order to, notably, be able to lay out his itinerary on Internet or to
create a user profile (cookies). Other methods of intrusion in a system can take the shape of a
spyware or trojan. The State itself will be tempted to put the entire population on file.
KEYWORDS : Personal data / Collection / Private life / Spyware
3
Benjamin EGRET
ERID 2002
PLAN GENERAL
INTRODUCTION
p5
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
p 11
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un
p 12
système informatique
Section 1 : Les logiciels indiscrets les plus courants
p 13
Section 2 : Les troyens
p 26
Chapitre 2 : Le droit applicable et les différentes sanctions
p 33
Section 1 : La loi Godfrain
p 33
Section 2 : Les autres types de sanctions
p 43
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
p 47
Chapitre 1 : Une identité de plus en plus dévoilée
p 48
Section 1 : Une identification qui suscite de plus en plus de convoitises
p 48
Section 2 : Le but inavoué de ces pratiques
p 60
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
p 72
Section 1 : Les droits de la personne propriétaire des données
p 73
Section 2 : Les obligations du responsable du traitement
p 78
CONCLUSION
p 83
4
Benjamin EGRET
ERID 2002
INTRODUCTION
« Sur les pièces de monnaie, sur les timbres, sur les livres, sur les bannières, sur les affiches,
sur les paquets de cigarettes, partout ! Toujours ces yeux qui vous observaient, cette voix qui
vous enveloppait. Dans le sommeil ou la veille, au travail ou à table, au-dedans ou au-dehors,
au bain ou au lit, pas d'évasion. Vous ne possédiez rien, en dehors des quelques centimètres
cubes de votre crâne. »1
Cette phrase, extraite de l’œuvre de Georges Orwell 1984, illustre tout à fait l’espionnage
constant auquel nous sommes soumis sur Internet au mépris des droits et libertés individuelles
(« Big Brother is watching you »). Plus de 50 ans après, l’œuvre d’Orwell est plus que jamais
d’actualité.
Le phénomène de fichage n’est pas nouveau et la plupart des Etats ont toujours souhaité avoir
la possibilité de ficher leur population. C’est le développement de l’informatique qui en a
permis la réalisation. Dans les années 1970, le danger pour les droits et libertés se situe
principalement au niveau de l’appareil étatique et de l’administration publique. Ainsi, en
France, plusieurs projets gouvernementaux ont vu le jour : le projet GAMIN2 et le projet
SAFARI3 sont les deux principaux.
Le projet GAMIN a été adopté en 1975, à l’initiative du ministère de la santé, et était relatif à
la création d’un fichier informatique comprenant l’ensemble des femmes enceintes afin de
mieux combattre la mortalité infantile. Ce projet a été mal présenté et devant une levée de
boucliers de l’opinion publique, l’administration a du l’abandonner.
Le projet SAFARI prévoyait d'instituer un identifiant unique pour interconnecter les fichiers
administratifs. L’idée était d’utiliser le numéro de Sécurité Sociale afin de relier tous les
services administratifs entre eux. Le 21/03/1974, un article du Monde « Safari ou la chasse
aux français » dévoile le projet. Devant l'indignation que provoque ce projet, le premier
1
(G. Orwell, 1984, Folio no 177, p.44)
Gestion Automatisée de Médecine Infantile
3
Système Automatisé de Fichiers Administratifs Répertoriant les Individus
2
5
Benjamin EGRET
ERID 2002
ministre le retire et crée une commission présidée par Bernard Tricot dont la réflexion
aboutira en 1978 à la loi « Informatique, fichiers et libertés ».
La surveillance s'étend subtilement, souvent à la suite de décisions et processus destinés à
atteindre des objectifs tels que l'efficacité ou la productivité. Par ailleurs, son caractère
électronique en augmente la subtilité. La plus grande partie de la surveillance se passe
littéralement hors de la vue, dans le royaume des signaux numériques dans les transactions
courantes, quand par exemple vous votez, téléphonez, conduisez ou travaillez. Autrement dit,
les personnes savent rarement qu'ils font l'objet de surveillance, ou s'ils le savent, ils ne se
doutent pas de l'étendue des renseignements que les autres détiennent sur eux.
La surveillance concerne les choses banales, ordinaires, naturelles de la vie qui consistent à
retirer de l'argent à des guichets automatiques, à passer un coup de fil, à réclamer des
prestations de maladie, à conduire une voiture, à utiliser une carte de crédit, à recevoir de la
publicité importune, à aller emprunter des livres à la bibliothèque, ou à traverser une frontière
lors de voyages à l'étranger. Dans chacune des activités mentionnées, les ordinateurs
enregistrent nos transactions, comparent les détails connus, stockent des bribes de nos
biographies, ou évaluent notre état financier, juridique ou national. Chaque fois que nous
effectuons l'une de ces transactions, nous laissons ou sommes susceptibles de laisser trace de
nos faits et gestes. Les ordinateurs et leurs systèmes de communication connexes sont au
coeur de tous ces types de relations. Participer à la société moderne signifie être sous
surveillance électronique. Même une simple facture d’électricité peut trahir notre mode de
vie.
Tom Wright, commissaire Canadien à l’information et à la protection de la vie privée imagine
un scénario basé sur une technologie qui existe depuis longtemps aux Etats Unis : le RRPLS
ou Realtime Residential Power Line Surveillance.
« Contrairement à la routine d'un ménage, l'un de ses occupants, un homme marié de 43 ans
(selon son permis de conduire) se lève tôt un samedi matin, prend une douche, se rase avec
son rasoir électrique et repasse quelques vêtements. Il achète de l'essence en ville, et au cours
de la soirée paie deux repas et achète deux billets de théâtre (le tout avec sa carte de crédit). A
son retour à la maison, il allume la chaîne stéréo (ce qui est rare selon son dossier RRPLS).
6
Benjamin EGRET
ERID 2002
Le lendemain matin, les données indiquent une douche inhabituellement longue, suivie de
deux utilisations d'un sèche-cheveux. La seconde est beaucoup plus longue qu'elle ne le
devrait pour l'homme, indiquant qu'il a probablement partagé sa douche avec une personne
aux longs cheveux.
Au même moment, les dossiers sur les transactions commerciales indiquent que l'épouse de
l'occupant se trouve autour du monde en voyage d'affaires payé par son employeur. Les
données RRPLS de sa chambre d'hôtel mentionnent également un visiteur nocturne. Quelques
jours plus tard, le couple est inondé de publicités envoyées directement par des avocats
spécialisés dans le divorce ».
L’identification :
L’ouverture de réseaux mondiaux a fait naître de nouveaux besoins : le besoin de s’identifier.
A l’instar du fichage et de l’automatisation de l’information, Internet n’a pas inventé
l’identification de l’individu mais sa progression fut si fulgurante qu’elle a engendré une vive
prise de conscience collective.
Avec Internet, de nouveaux outils d’identification ont du être inventés et des instruments
permettant de pister les internautes vont voir le jour. L’un des plus connus se nomme le
cookie. C’est un fichier qui s'inscrit sur le disque dur d'un ordinateur connecté à Internet lors
de la visite de certains sites Web. Ce fichier est inscrit par un serveur Web, afin de reconnaître
l'utilisateur, lors de ses prochaines visites. Le cookie sera mis à jour à chaque consultation
dudit site par l’internaute. L’identification de la machine, à travers son adresse IP4, peut
mener directement à l’identification de l’utilisateur transformant des données techniques en
données personnelles. Chaque fournisseur d’accès à Internet est en effet capable d’identifier
les utilisateurs se trouvant derrière une adresse IP.
Il est difficile pour un internaute de ne pas s’identifier sur le réseau et la plupart des actions
réalisées sur Internet nécessitent une identification : participation à un forum de discussion,
abonnement à un service, commande d’un article sur un site marchand…
4
Internet Protocol : c'est le protocole de communication entre toutes les machines connectées à Internet
7
Benjamin EGRET
ERID 2002
La nature numérique de l’information récoltée sur Internet rend cette identification aisée. La
numérisation implique la transformation des données en éléments décryptables, consultables
et modifiables par ordinateur. Chaque donnée ainsi collectée est envoyée à sa destination et
ajoutée aux autres déjà retenues. A l’arrivée, l’information est reconstituée grâce aux
recoupements des informations contenues dans l’ensemble des segments.
Enjeu du commerce électronique :
Le commerce électronique représente la « possibilité de faire des échanges de biens ou de
services entre deux ou plusieurs participants (consommateurs finaux et entreprises) à travers
un médium électronique (outils et techniques). Les participants, dans cette optique, doivent
pouvoir y naviguer, emmagasiner, chercher, délivrer, échanger, contracter, payer…bref tout
ce qui fait une transaction commerciale au sens large du terme »5
Le nombre d’internautes ne cesse d’augmenter. Selon une estimation de Médiamétrie6
réalisée en février 2002, il y avait environ 16.4 millions d’internautes en France. Internet attire
les entreprises qui y voient un moyen de rester compétitives à l’heure de la mondialisation des
marchés.
Internet offre aux entreprises un moyen d’identifier leur public. Avec 2,350 milliards d'euros
pour l’année 20027, le marché français du commerce électronique grand public sur Internet a
continué de progresser significativement en France. Grâce à des outils de suivie comme le
cookie, les entreprises collectent, stockent, traitent et analysent les données personnelles
qu’elles trouvent sur le réseau. Internet offre le terrain le plus avantageux pour faire prospérer
l’identification au sens large.
5
Etude MIAGE : Les enjeux économiques du commerce électronique sur Internet
http://www.journaldunet.com/cc/01_internautes/inter_nbr_fr.shtml
7
Source : Jupiter MMXI, novembre 2001 (le marché B to C en France)
6
8
Benjamin EGRET
ERID 2002
Données personnelles :
La convention 108 en donne une définition : « toute information concernant une personne
physique identifiée ou identifiable ». Cette définition a été reprise par la directive
communautaire du 24 octobre 1995. L’article 2-a de la directive en précise la portée : « est
réputé identifiable une personne qui peut être identifiée directement ou indirectement,
notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, physiologique, psychique, économique,
culturelle ou sociale. »
La loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés fait référence aux données nominatives qui recouvrent « les informations qui
permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes
physiques auxquelles elles s’appliquent ».
Il n’y a pas de différence entre les termes données nominatives et données personnelles mais
le second terme apparaît plus approprié que le premier.
Contrairement à la loi de 1978, la directive de 1995 est plus à même de s’appliquer dans le
cadre de l’Internet. En effet, la collecte de données est chose courante et ne porte pas toujours
sur des informations directement nominatives. La plupart du temps, il s’agit de données
techniques, qui, prises individuellement, ne peuvent identifier une personne avec précision.
Toutefois, la nuance apportée par le terme « identifiable » permet d’appréhender cette
situation et les données techniques ne deviendront identifiables que lorsqu’elles feront l’objet
d’un recoupement avec d’autres données et que l’identité de la personne concernée pourra être
levée. C’est ainsi que les renseignements contenus dans un cookie peuvent être qualifiés sans
trop de difficultés de données indirectement personnelles.
Pour tomber sous le coup de la loi de 1978 et de la directive de 1995, ces données
personnelles doivent également faire l’objet d’un traitement. L’article 2-b en donne une
définition : « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme
9
Benjamin EGRET
ERID 2002
de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction ».
Les données transitant sur Internet peuvent donc être qualifiées de données personnelles et
font l’objet d’un traitement : l’application de la loi de 1978 et de la directive de 1995 leur sont
donc applicables.
Vie privée :
Le concept de la vie privée s’est développé vers la fin du 19ème siècle. Plusieurs textes y font
référence.
La Déclaration Universelle des droits de l’homme du 10 décembre 1948 dispose dans son
article 12 : « Nul ne fera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son
domicile ou sa correspondance, ni d’atteinte à son honneur ou à sa réputation »
La Convention Européenne des Droits de l’Homme et des libertés fondamentales du 4
novembre 1950, quant à elle, affirme dans son article 8 le droit au respect de la vie privée et
familiale, du domicile et de la correspondance. De plus, une loi française du 17 juillet 1970 a
introduit dans le Code Civil un article 9 ainsi rédigé : « Chacun a droit au respect de sa vie
privée ».
Vu sous l’angle des données personnelles, la vie privée doit être protégée contre l’intrusion de
l’Etat et contre l’arbitraire des grandes multi nationales. La loi de 1978 fait également
référence à la vie privée dans son article premier qui énonce que «L'informatique doit être au
service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération
internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni
à la vie privée, ni aux libertés individuelles ou publiques ».
La constitution quotidienne de méga bases de données comportementales contredit ce
principe.
Les logiciels indiscrets posent donc plusieurs problèmes juridiques qui ont pour conséquence
la perte de l’anonymat. Ces logiciels portent deux types d’atteintes : une atteinte aux biens
(Partie 1) ainsi qu’une atteinte aux personnes (Partie 2).
10
Benjamin EGRET
ERID 2002
PARTIE I
LES LOGICIELS INDISCRETS : UNE
ATTEINTE AUX BIENS
11
Benjamin EGRET
ERID 2002
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion
dans un système informatique
Il convient d’étudier les différentes techniques d’intrusion avant d’envisager le droit
applicable en la matière.
Le terme logiciel est un mot inventé par Philippe Renard en 1967 pour remplacer le terme
anglais « software ». Il désigne la partie non tangible de l'ordinateur.
Ce terme est utilisé comme synonyme de programmes disponibles pour une machine donnée.
Le logiciel est aussi indispensable au fonctionnement d'un ordinateur que le matériel luimême. On distingue trois types de logiciels :
-
Les logiciels de base comme le système d'exploitation ou les utilitaires
-
Les langages comme le Basic
-
Les programmes d'application (Traitement de texte, comptabilité ...)
Un logiciel indiscret peut se définir comme étant un programme qui va s’installer sur un
ordinateur à l’insu de la personne concernée afin de collecter diverses données contenues sur
cette machine. Les différentes données ainsi collectées seront récupérées via le réseau internet
et elles pourront par la suite être individualisées par le biais de l’interconnexion des fichiers et
présenter un intérêt non négligeable pour des sociétés commerciales. Dans la société de
l’information, les données sont de véritables marchandises et, à ce titre, suscitent beaucoup
d’intérêt.
La définition d’un logiciel indiscret étant large, ces derniers prendront des formes diverses.
Le point commun entre ces différents procédés est l’obtention d’informations confidentielles
contenues sur le disque dur, sans le consentement de la personne concernée.
12
Benjamin EGRET
ERID 2002
On peut ainsi citer les principaux procédés faisant appel à un logiciel indiscret ou apparenté :
-
Les cookies
-
Le « spamming » ou courrier non sollicité
-
Les espiogiciels ou « spywares »
-
Les mouchards
-
Les troyens
De tels programmes peuvent être contenus dans un logiciel (software) : ce sera généralement
le cas pour bon nombre de freewares. Ils peuvent être également intégrés dans le matériel
informatique (hardware).
Il convient de présenter tous les aspects techniques liés aux différentes méthodes permettant
l’intrusion dans un système, la collecte des données présentes sur l’ordinateur sans avoir
obtenu le consentement explicite de la personne propriétaire des données. Il est en effet
préférable de connaître les différentes techniques avant d’envisager le droit applicable. Il
convient d’étudier d’une part les logiciels indiscrets les plus courants avant d’envisager le cas
particulier des troyens.
Seront étudiés successivement : les cookies, le spamming, les espiogiciels et les mouchards.
§1 : Les cookies
Un cookie est un fichier qui s'inscrit sur le disque dur d'un ordinateur connecté à Internet lors
de la visite de certains sites Web, permettant notamment d'espionner le contenu de
l'ordinateur. Ce fichier est inscrit par un serveur Web, afin de reconnaître l'utilisateur, lors de
ses prochaines visites. L'utilisateur a la possibilité de refuser les cookies, en consultant les
options du navigateur.
A) Principe
En d’autres termes, le cookie consiste donc pour un site web à enregistrer localement, sur le
poste client, des informations relatives à ce dernier et qui lui seront utiles lors de sa prochaine
visite. En effet, la consultation web, effectuée grâce au protocole http, ne permet pas de garder
13
Benjamin EGRET
ERID 2002
des informations sur le contexte d'une session de travail sur un site web. Ainsi, lorsque l’on
souhaite passer d'une page à une autre en cliquant sur des liens, chaque requête est traitée de
manière complètement indépendante, comme s'il s'agissait de n utilisateurs différents accédant
chacun à une seule page du site.
Afin d’éviter cet inconvénient, on a donc introduit les cookies. En passant d'une page à l'autre
sur un site, les premières pages peuvent déposer des informations sur le poste client à
destination des pages visitées par la suite et donc recréer un mécanisme de session. Lorsque
les informations à conserver sont nombreuses, le site web n'enregistre sur le poste client qu'un
simple identifiant (un numéro unique lié à l'utilisateur). Les informations sont conservées
alors localement sur une base, côté serveur, mais sont associées via l'identifiant contenu dans
le cookie à l'utilisateur. Les cookies sont apparus entre 1995 et 1996 à l'initiative de Netscape.
B) Intérêt
Voici quelques exemples (liste non exhaustive) afin de mieux saisir l’enjeu des cookies.
•
Portails et sites personnalisés
Des sites comme Hotmail, Voila, Yahoo et bien d'autres, permettent à chaque visiteur de
personnaliser la présentation et le contenu et de conserver cette interface personnalisée au
cours d'une même session mais également d'une visite sur l'autre. Cela permet ainsi, pour les
sites web proposant une messagerie électronique, de garder en mémoire son mot de passe
ainsi que son identifiant de connexion.
•
Les sites bancaires
Les sites de banque en ligne permettent d'accéder à ses comptes et d'y effectuer certaines
opérations. Les cookies sont utilisés comme marqueurs et font le lien entre l'utilisateur sur son
poste et les données personnelles (choix du compte, montant du compte, etc) qui sont, elles,
stockées dans une base de donnée, en arrière du serveur web.
•
Les sites de e-commerce
14
Benjamin EGRET
ERID 2002
La plupart des sites de commerce en ligne permettent de constituer une sorte de panier
d'achats virtuels avant passage de la commande. L'internaute surfe sur le site et choisit
progressivement les articles qu'il veut commander. Ceux-ci sont emmagasinés dans le panier.
L'état de celui-ci est entretenu par des mécanismes à base de cookies.
•
Régies publicitaires en ligne
L'usage des cookies est également très populaire pour certaines techniques de mesure et de
suivi d'audience des sites web. Ils sont systématiquement utilisés par les régies publicitaires
en ligne qui se chargent de rémunérer certains sites en fonction du nombre de visualisation
des bannières publicitaires qu'ils hébergent.
C) Fonctionnement
Les mécanismes de cookies utilisent le protocole HTTP8 pour fonctionner. Les postes clients
envoient des requêtes HTTP à des serveurs web afin de visionner telle ou telle page. En
retour, ces serveurs émettent des réponses HTTP incluant les documents demandés.
Les cookies accompagnent ces échanges en s'introduisant dans les entêtes HTTP des requêtes
et des réponses :
1. L'internaute accédant pour la première fois au site X envoie une requête HTTP
classique.
2. Le site Y qui utilise les cookies lui renvoie une réponse HTTP indiquant dans son
entête l'initialisation de un (ou plusieurs) cookie(s). Pour chaque cookie, l'entête HTTP
comprend au minimum un nom de variable et une valeur associée.
3. Le navigateur du poste client qui reçoit la réponse, stocke localement, les noms et
valeurs associés aux cookies de la réponse à sa requête initiale.
4. Ensuite, à chaque nouvelle requête de l'internaute concernant le site X, le navigateur
de celui-ci inclura à l'entête HTTP de ses requêtes, les informations concernant tous
les cookies associés au site X.
8
HyperText Transfer Protocol
15
Benjamin EGRET
ERID 2002
5. Réciproquement, chaque fois qu'une page consultée du site X désirera soit modifier,
soit initialiser un nouveau cookie associé au site auquel elle appartient, le mécanisme
2, 3 sera utilisé par le serveur dans sa réponse.
Le stockage des cookies peut prend deux formes selon que le navigateur est lancé ou non. Les
deux principaux navigateurs web sont Internet Explorer (IE) de Microsoft et Netscape.
Pendant la session de travail sur le navigateur, les valeurs des cookies sont stockées en
mémoire vive par le programme lui-même. Lorsque l'on ferme Netscape ou IE, les cookies en
mémoire sont analysés et éventuellement stockés sur le disque dur, si leur date d'expiration
n'est pas révolue, à l'intérieur de un ou plusieurs fichiers textes.
Dans le cas de Netscape, les cookies sont tous stockés à l'intérieur du même fichier texte,
généralement appelé cookies.txt et situé dans le répertoire Netscape/users/mon_nom/. Chaque
ligne du fichier cookies.txt correspond à un cookie avec ses différents champs, séparés par des
tabulations.
Dans le cas de IE, les cookies sont répartis dans plusieurs fichiers textes, eux-mêmes stockés
dans le ou les répertoires Windows/Internet temporary files/ et Windows/cookies/. Les noms
des fichiers textes sont construits ainsi :
¾ Cookie : mon_nom@domaine, où mon_nom correspond à l'utilisateur et domaine
correspond au site web propriétaire du cookie. Si plusieurs pages d'un même domaine
envoient plusieurs cookies, ceux-ci sont stockés dans un seul et même fichier, séparés
par un passage à la ligne.
D) La gestion des cookies par l'Internaute
La suppression volontaire de cookies déjà existants ne peut s'effectuer pas par le biais du
navigateur mais, à travers un simple gestionnaire de fichiers, les navigateurs offrent tout de
même plusieurs options dans la gestion des cookies : l'internaute peut généralement, soit
accepter systématiquement tous les cookies (choix sélectionné par défaut), soit refuser
systématiquement tous les cookies, soit demander à ce que l'acceptation de cookies soit faite
au cas par cas.
16
Benjamin EGRET
ERID 2002
Dans IE, le menu : outils/options internet/sécurité/personnaliser le niveau/ permet d'accéder à
la configuration de ces différents modes.
Dans Netscape 6, la gestion des cookies par l'utilisateur semble beaucoup plus riche et
développée et se situe dans le menu : tasks/personal managers/cookies manager.
E) Les différentes composantes du cookie
Un cookie se compose au maximum de six champs, les deux premiers énumérés ici étant
obligatoires.
- Nom : Le champ nom correspond au nom de la variable associée au cookie. Pour récupérer
la valeur d'un cookie il faut en effet passer par un appel à son nom.
- Valeur : Le champ valeur contient la valeur (l'information) associée au cookie.
- Date d’expiration : Elle indique la date limite de validité du cookie. A la fermeture du
navigateur, si la date est expirée ou n'est pas renseignée, le cookie est effacé, dans le cas
contraire le cookie est stocké sur le disque dur.
- Domaine : Il indique le domaine d'où a été émis le cookie. Ce domaine doit comporter au
moins deux niveaux (.gouv.fr par exemple et non.fr uniquement) et doit correspondre à la
page en question. Seules les pages appartenant au domaine spécifié peuvent ensuite accéder
au cookie. Par défaut sa valeur est celle du nom de domaine complet.
- Chemin : Il affine la sélection effectuée au niveau du champ domaine. On peut spécifier un
chemin particulier où sera uniquement valide le cookie.
- Sécurité : Il s'agit d'un paramètre booléen (true/false) qui indique si le cookie en question
doit être ou non utilisé à l'intérieur d'une connexion sécurisée (SSL par exemple).
Le 30/01/2002, lors de la première lecture du projet de loi réformant la loi informatique et
liberté de 1978, les députés ont par ailleurs adopté un amendement interdisant l'utilisation des
cookies sans information préalable de la personne concernée, qui peut s'y opposer (opt in).
Les cookies employés uniquement pour faciliter les communications sont autorisés.
17
Benjamin EGRET
ERID 2002
§2 : Le spamming
Le spamming ou courrier non sollicité se définit comme étant un « envoi massif (et parfois
répété) de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des
personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse
électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion,
annuaires, sites Web, etc. ».9
Le spam ne constitue pas en tant que tel un logiciel indiscret mais il fait appel à des
techniques qui s’y apparentent. Il n’y a donc pas de technique particulière liée au courrier non
sollicité et le spam fera l’objet d’une étude plus approfondie dans le corps du mémoire mais
uniquement dans son aspect de logiciel indiscret.
§3 : Les espiogiciels
A) Technique
A chaque connexion Internet, un utilisateur laisse derrière lui un grand nombre
d'informations. Ces traces sont généralement intéressantes mais non suffisantes à un public de
professionnels ou d'espions cherchant à obtenir d'autres éléments que ceux techniques laissés
en standard. Les professionnels d'un secteur déterminé cherchent à connaître les habitudes de
téléchargement de leurs clients, leurs modes de consommations, leurs centres d'intérêts, ou la
périodicité de leurs achats par exemple. Les pirates ou espions seront, eux, plus intéressés par
le contenu des machines connectées, la réception de ces informations etc…
Pour faciliter la récolte de ce type de renseignements, il existe des espiogiciels, en anglais
« spywares ». Ils se trouvent généralement dans le code d'un programme que l'utilisateur
téléchargera innocemment sur internet. Dans la plupart des cas, ces espiogiciels sont des petits
morceaux de codes parasite10 intégrés dans le code principal du programme. Dans un même
9
définition issue du rapport de la C.N.I.L. adopté le 14 octobre 1999 présenté par Madame Cécile Alvergnat sur
le Publipostage électronique et la protection des données personnelles
10
routine
18
Benjamin EGRET
ERID 2002
programme, il peut y avoir plusieurs routines parasites différentes, ayant chacune une fonction
déterminée.
En d’autres termes un espiogiciel peut se définir ainsi : tout logiciel qui emploie la connexion
Internet d'un utilisateur ou tout autre support à son insu ou sans sa permission explicite, pour
collecter des informations, peu importe qu'il y ait ou non un rapprochement entre ces
informations et l'identification dudit utilisateur. Le but est essentiellement commercial et il
s’agit en réalité de profiler les internautes.
La détection de ces routines est très difficile. En effet, plus le logiciel initialement téléchargé
est volumineux, plus les chances de trouver les routines éventuelles seront faibles.
L'espiogiciel aura toujours besoin d'une connexion Internet pour la transmission des données :
c'est la raison pour laquelle ces routines se trouvent majoritairement dans des exécutables
prévus pour fonctionner avec Internet.
Les informations collectées concernent principalement :
-
les URL (adresses) des pages Web visitées : il suffit aux robots de lire ces pages afin
d’en extraire les mots clés et connaître vos centres d'intérêt
-
les informations sur la navigation actuelle et l’historique
-
les informations sur les formulaires en ligne
-
les mots utilisés par les requêtes faites sur les moteurs de recherche
-
l’adresse IP de l’ordinateur
-
le ou les cookies du site mais aussi les autres cookies.
-
Le nom et la version du navigateur (Opera, Netscape, Microsoft Internet Explorer)
-
la version et le nom du système d’exploitation (Linux, Windows, Apple etc...)
-
la résolution de l’écran
Un outil infecté par un spyware peut représenter une très grande menace pour la sécurité du
système d'information infecté. En effet plusieurs routines successives peuvent permettre la
détection de mots de passe encrypté et le « crackage » de ces informations. Il suffit pour cela
19
Benjamin EGRET
ERID 2002
d'indiquer dans une routine à l'ordinateur de mettre à profit le temps CPU11 disponible pour
cracker le mot de passe à l'insu de l'utilisateur.
On identifie actuellement plus de 1200 logiciels12 contenant des espions dont les principaux
sont Aureate, Cydoor, Webhancer, Doubleclick, Gator. Les logiciels libres (freewares) et
logiciels d'évaluation (sharewares) sont les principaux vecteurs d'espiogiciels.
En pratique, la contamination de votre ordinateur par un mouchard est assez simple : lorsque
vous installez un freeware ou shareware contenant un espiogiciel, ce dernier va s’installer
correctement sur votre disque dur à l’emplacement que vous aurez spécifié mais d’autres
fichiers (mouchards), qui ne sont pas nécessaires à l’exécution dudit programme, vont
également s’installer sur le disque dur de votre machine généralement dans le répertoire
c:\windows\system32 de votre ordinateur. Certains d’entre eux peuvent également s’installer
dans la base de registre de votre ordinateur.
Il convient d’expliquer brièvement et sans rentrer dans le détail ce qu’est la base de registre.
Pour simplifier, la base de registre contient toutes les informations nécessaires à l’exécution
de tous les programmes installés sur votre ordinateur. Elle est constituée de cinq grandes
catégories :
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Dès que vous installez un programme sur votre ordinateur, des lignes sont automatiquement
crées dans votre base de registre afin que ce dernier puisse s’exécuter correctement. La base
de registre est accessible assez facilement mais la plupart des utilisateurs de Windows
ignorent son existence. De plus, tout changement opéré dans la base de registre a des
conséquences sur la stabilité du système et il est fortement déconseillé de modifier les
11
12
Micro-processeur
http://www.suttondesigns.com/EnigmaBrowser/Spyware.html
20
Benjamin EGRET
ERID 2002
paramètres, sauf pour les utilisateurs les plus initiés, sous peine de ne plus pouvoir redémarrer
son ordinateur.
Pour en revenir aux espiogiciels, il est évident qu’en plaçant des fichiers dans la base de
registre, ces derniers seront, pour la plupart des utilisateurs, invisibles et pourront dès lors
accomplir leur tâche en toute impunité. Le plus inquiétant est que la présence de ces
espiogiciels peut avoir des effets néfastes pour l’ordinateur puisque ces derniers peuvent
provoquer des instabilités diverses qui se caractérisent par des crashs du système
d’exploitation.
Ces pratiques sont multiples et seront analysés dans le corps du mémoire mais on peut d’ores
et déjà affirmer que ces logiciels freewares installent à notre insu des mouchards qui serviront
à nourrir les bases de données de sociétés commerciales avides de cibler leurs propositions
mercantiles et autres publicités.
B) Contre techniques
L’atout principal de ces mouchards est qu’ils sont difficilement détectables mais il existe des
logiciels capables de recenser et d’éliminer tous les espiogiciels contenus sur votre machine.
Le plus performant d’entre eux est sans aucun doute Ad Aware.13 Ce logiciel, gratuit, a été
développé par la société Lavasoft. Facile d’utilisation14, il fonctionne à la manière d’un antivirus classique (utilisation de fichiers « signatures ») et nécessitera des mises à jour régulières
afin d’éliminer les derniers espiogiciels recensés. Les espiogiciels sont de plus en plus
nombreux et, pour avoir utilisé Ad Aware sur plusieurs ordinateurs, il n’est pas rare de
dénombrer plus de 190 espiogiciels lors de la première utilisation d’Ad Aware.15
Un autre moyen permettant de lutter contre l’intrusion d’espiogiciels dans votre ordinateur
consiste à installer un firewall16 sur son ordinateur et de créer des règles spécifiques afin que
ce dernier n’autorise pas l’accès de données provenant d’une adresse IP donnée.17 En effet, la
13
http://www.lsfileserv.com/downloads.html
http://websec.arcady.fr/adaware.htm
15
Annexe 1
16
Pare Feu
17
Annexe 2
14
21
Benjamin EGRET
ERID 2002
plupart des espiogiciels connus utilisent les mêmes adresses IP. Les espiogiciels ne pourront
plus s’infiltrer dans votre disque dur puisqu’ils seront bloqués par le firewall.
Ces mouchards ne sont pas forcément issus de freewares puisque Microsoft en intègre un
certain nombre au sein même de ses systèmes d’exploitation.
§ 4 : Les mouchards
La plupart des mouchards sont cachés à l’intérieur des logiciels (software) mais il peut arriver
que ces derniers soient directement intégrés au matériel informatique (hardware).

SOFTWARE
A) Technique
Microsoft a intégré dans la plupart de ces versions de Windows des espions qui agissent
comme des mouchards en communiquant des informations contenues sur le disque dur de
votre ordinateur lorsque vous vous connectez à internet. Le but de cette collecte est double :
obtenir des informations et faire des profils d'utilisateurs à but marketing et collaborer avec
les services de contre-espionnage (FBI, CIA, NSA, DST…). A partir de Windows 98 inclus,
Microsoft a introduit dans ses systèmes d'exploitation un système d'identification des
utilisateurs.
Microsoft a ainsi introduit dans ses systèmes d’exploitation un numéro unique appelé GUID18
qui permet non seulement d’identifier chaque machine mais également de connaître tous les
fichiers crées à partir de cette dernière. Le GUID se compose en fait en deux parties : le
MSID19 et le HWID20. En effet, un contrôle ActiveX permet à Microsoft de lire votre HWID
ainsi que le MSID. Il est possible de consulter, via Internet, cet identificateur qui se trouve sur
votre PC et n'importe qui connaissant la méthode peut alors savoir qui vous êtes, vos logiciels
installés, etc…
18
Global Unique Identifier
19
Microsoft ID
Hardware ID
20
22
Benjamin EGRET
ERID 2002
Le fonctionnement de ce mouchard est très simple : lors de votre enregistrement en ligne par
l’assistant d’enregistrement un numéro d’identifiant unique nommé MSID, vous est attribué.
Cet identifiant est en réalité une valeur numérique de 32 chiffres. Ce MSID épie vos
déplacements sur son site mais il est également incorporé à votre insu à tous les documents
produits avec la suite Bureautique MS Office et d’autres outils de développement signés
Microsoft. Un second identifiant appelé HWID ou numéro d’identification matérielle,
contenant divers renseignements sur la configuration matérielle du PC21, est également
envoyé à Microsoft.
Le disque dur ainsi que tous les fichiers que vous créez sont donc marqués par le GUID.
Selon Microsoft le GUID a uniquement pour finalité d'aider les services techniques de la
société à dépanner les utilisateurs en cas de problèmes. Cependant on a découvert que le
GUID est tatoué sur chaque document Excel, Word, ou PowerPoint. Il est donc possible de
remonter grâce à ce numéro jusqu'à l'ordinateur qui a produit le document Office. Microsoft a
d'abord nié les faits avant de mettre à la disposition des utilisateurs de la suite Office 97 des
utilitaires permettant de supprimer le tatouage des fichiers.
Ce mouchard est également présent dans Windows Me, 2000 et XP. C’est Robert Smith, un
expert américain en sécurité informatique, qui a dévoilé le premier la présence d’un mouchard
au sein de Windows 98 (et Windows 98 SE). Le dernier système d’exploitation de Microsoft
(Windows XP) intègre encore plus de « spywares » que ses prédécesseurs et il est possible de
les désactiver par le biais de logiciels dont le plus efficace est XP ANTISPY.
En matière de messagerie instantanée, le Messenger de Microsoft joue également les espions,
En matière de sécurité informatique, les messageries instantanées deviennent de véritables
bêtes noires. Les failles de celle d'AOL ou encore ICQ le confirment. Ainsi, Microsoft
n'échappe pas à la règle. Son Messenger permettrait à un site Internet, à l'aide d'un simple
javascript, d'accéder au nom et adresse e-mail des usagers ainsi qu'à leur liste de contacts.
Ainsi, certains sites commerçants ou adeptes du profilage peuvent récupérer ces données et
savoir ainsi que vous fréquentez tel ou tel site, mais également que vous connaissez d’autres
personnes (votre liste de contact) qui fréquentent d’autres sites. Ensuite les adresses e-mail
sont récupérées et croisées avec des bases de données potentiellement déjà existantes et vous
21
De l’anglais Personnal Computer ou ordinateur personnel
23
Benjamin EGRET
ERID 2002
pouvez être fiché ou espionné par une base de données commerciales peu scrupuleuse. Si
vous passez une transaction sur le réseau avec une messagerie ouverte, vos coordonnées
bancaires peuvent être détournées.
Afin de se débarrasser de ce numéro GUID, des logiciels existent permettant la vérification de
la présence de cet identifiant sur votre machine. Des utilitaires tels que Guideon22 permettent
de supprimer le tatouage des fichiers. La solution logicielle n’est pas la seule à pouvoir
désactiver le logiciel et il est également possible de procéder en opérant la manipulation
suivante :
Pour Windows 98, 98SE et ME
1. Menu Démarrer puis Exécuter
2.Tapez la commande suivante : regsvr32.exe -u c:\windows\system\regwizc.dll
On peut encore aller plus loin en cas de paranoïa :
Ouvrez Regedit
Puis HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Et effacez la valeur chaîne HWID
Puis toujours dans
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Effacer la valeur chaîne MSID
Pour Windows 2000
2.Tapez la commande suivante : regsvr32.exe -u c:\winnt\system32\regwizc.dll
3.Recommencer avec la commande : regsvr32.exe -u c:\winnt\system32\msident.dll
22
http://www.vecdev.com/guideon.html
24
Benjamin EGRET
ERID 2002
Pour Windows XP
2.Tapez la commande suivante : regsvr32.exe -u regwizc.dll

HARDWARE :
Certains constructeurs de microprocesseurs (Intel) ne se privent pas d’équiper leur puce d’un
numéro de série qui joue le rôle d’un espion (Pentium III).
Le « Processor Serial Number »23 (P.S.N.) est un numéro de série unique (de 96 bits)
identifiant chaque processeur Intel Pentium III et donc par extension chaque ordinateur. Le
numéro de série est accessible à distance.
Cet identifiant est l’outil idéal pour le « e-marketing » puisque certains sites peuvent utiliser le
P.S.N. pour générer un numéro unique afin de fidéliser le client à leur service ou d’en
contrôler l’accès.
Après la campagne de presse révélant l'existence du système, Intel, sans renoncer à cet
identifiant, a décidé que les PC grand public seraient désormais livrés avec le P.S.N.
désactivé. Pour les ordinateurs professionnels l’identifiant restera cependant actif. Cette
pratique n’est pas nouvelle pour la firme américaine puisqu’elle a révélé que certains Pentium
II équipant des PC portables comportaient déjà le tatouage d’identification qui accompagne
désormais les Pentium III. Intel a expliqué qu’il s’agissait « d’un test de fabrication en vue de
la conception du Pentium III », le tatouage était désactivé sur tous les processeurs Pentium II
mais une ligne de fabrication défectueuse aurait échoué dans l’opération et laissé le tatouage
actif.
Cependant, d’après des tests réalisés par un laboratoire spécialisé, la présence du tatouage
concerne également les processeurs Celeron, version moins rapide et moins chère que les
processeurs Pentium. Toutes ces explications sont peu convaincantes lorsqu’on connaît
l’enjeu que peuvent représenter l’ensemble des informations récoltées, ce système permettant
23
Processor Serial Number
25
Benjamin EGRET
ERID 2002
d’identifier un utilisateur sur le réseau afin de savoir ce que vous avez fait, où vous êtes allés
et quand.
Il existe un moyen technique d’éliminer le P.S.N. mais il demeure assez compliqué puisqu’il
faut agir directement dans le BIOS24 de l’ordinateur. La solution technique se trouve alors
chez les fabricants de carte mère qui ont mis à jour des nouvelles versions de BIOS dès août
1999. Afin d’être certain que le mouchard a été désactivé, il existe des utilitaires capables de
vérifier la présence du tatouage sur le Pentium de votre PC. Ces derniers sont téléchargeables
sur Internet.
Après le tollé soulevé par ces révélations et les recommandations de la C.N.I.L.25, l'activation
ou la désactivation du P.S.N. se fait néanmoins uniquement avec une solution logicielle grâce
à des programmes tels que PSFRE103.exe26 et non de façon physique. Comme le désirait la
C.N.I.L., un petit utilitaire (PSN utility) servira de tableau de bord pour tous les utilisateurs.
Deux voyants lumineux seront inscrits dans la barre de tâche de Windows (bleu pour actif et
rouge pour inactif). Ces solutions vont donc dans le sens d’une meilleure protection de
l’utilisateur mais l’absence de moyen de désactivation physique peut faciliter son activation à
distance et à l’insu de son utilisateur.
Dans un registre un peu différent, il existe également des programmes appelés chevaux de
Troie, troyens mais également vers. Ces derniers vont permettre de s’introduire et de prendre
le contrôle de votre ordinateur par celui qui vous aura envoyé ledit troyen. Leur but n'est pas
essentiellement de causer des dommages à votre machine, mais plutôt d'en permettre l'accès à
distance, ou de vous voler des informations.
Il convient tout d’abord d’étudier ces programmes de manière technique afin de mieux les
appréhender avant d’analyser les méthodes permettant de se débarrasser de ces derniers.
24
Basic Input Output System : Programme primaire d’un PC, inscrit sur la carte mère et qui démarre avant
Windows lors de la mise sous tension
25
Commission Nationale Informatique et Libertés
26
http://mts.free.fr/psfre103.exe
26
Benjamin EGRET
ERID 2002
§ 1 : Technique
Le nom « cheval de Troie » a été choisi en référence à une anecdote historique qui s'est
déroulée il y a bien longtemps : l’histoire du cheval de Troie. Les Grecs effectuaient le siège
de la ville de Troie et n'arrivaient pas à faire plier la ville assiégée. Les assaillants eurent l'idée
de construire un énorme cheval de bois et de l'offrir aux Troyens. Ceux-ci prirent le cheval de
bois pour un cadeau des Dieux et l'accueillirent à l'intérieur de leur ville. Cependant, le cheval
était rempli de soldats qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville
entière était endormie ... Cette ruse permit aux Grecs de pénétrer dans la ville et de gagner la
bataille.
Un peu comme le virus, le cheval de Troie est un code (programme) nuisible. Il exécute des
instructions nuisibles lorsque vous exécutez le programme sain. Un tel programme peut créer,
de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à
des parties protégées du réseau à des personnes se connectant de l'extérieur.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des instructions
nuisibles lorsque vous exécutez le programme sain. Il peut par exemple voler des mots de
passe, copier des données, ou exécuter tout autre action nuisible. Il existe de nombreux
troyens dont la liste ne cesse de s’allonger27. Un tel programme est en général composé d'un
serveur (installé sur la machine de la victime), et d'un client qu'utilise l'attaquant pour
« prendre la main » sur la machine. Back Orifice 2000 (Windows) constitue un des chevaux
de Troie les plus répandus.
Les risques encourus pour un utilisateur dont la machine est infectée sont considérables.
Toutes les opérations faites sur une machine en local peuvent être exécutées par le biais de
Back Orifice 2000. Par exemple, un attaquant peut : télécharger un fichier sur le poste
victime, rebooter l'ordinateur, enregistrer la frappe au clavier, visualiser l'écran, prendre le
contrôle de la souris et du clavier, etc… Il n'est dès lors pas étonnant dans ces conditions que
Back Orifice 2000 soit largement utilisé par les administrateurs systèmes pour l'administration
distante.
27
http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=Trojans
27
Benjamin EGRET
ERID 2002
Le principal danger vient de l'extrême facilité à se servir de Back Orifice 2000. Son utilisation
ne requiert absolument aucune compétence particulière, et ne semble donc pas réservée à
certains spécialistes. En effet, il suffit pour un attaquant de faire exécuter par un utilisateur le
binaire d'installation du serveur Back Orifice 2000. Cet exécutable peut porter n'importe quel
nom, se trouver en pièce jointe à un courriel (il a une taille comprise entre 160 et 200 Ko), et
même être incorporé à un autre exécutable. Il n'est pas aisé de détecter une compromission par
un cheval de Troie, en particulier par Back Orifice 2000. En effet, tous les paramètres sont
modifiables par l'attaquant : le nom du serveur, sa valeur dans la base des registres, le
protocole réseau utilisé pour communiquer entre le client et le serveur, le numéro de port sur
lequel se fait la connexion…
En pratique, une contamination par un troyen s’opère en plusieurs étapes :
La première étape consiste à envoyer à la machine cible le logiciel serveur. Etant donné la
nuisance que peut occasionner un cheval de Troie, l'utilisateur cible ne va pas de son plein gré
exécuter le programme s'il sait de quoi il s'agit. Aussi, le cheval de Troie en lui-même va être
présenté comme différent et prendra généralement la forme d’un logiciel standard. Ce type de
contamination pourra être occasionné à la suite d'un dialogue sur une messagerie instantanée
telle que ICQ, MSN messenger, Yahoo messenger ou tout autre espace de chat.
Une autre méthode, plus subversive, consiste à introduire le troyen directement dans un
logiciel, aussi divers soit-il, puis de le faire parvenir à la personne visée. Dès lors, tout
programme peut être infecté. De plus, selon la personne visée, ses intérêts, sa vigilance, le
mode d'infection peut être personnalisé.
Après l'infection, il faut attendre l'exécution du programme. Dans ce cas deux solutions sont
possibles :
-
soit le cheval de Troie a été exécuté seul et un message d'erreur survient
-
soit le troyen est incorporé dans un autre logiciel et s'exécute sans changer le
comportement du logiciel
La partie active du programme (soit le troyen en lui-même, soit la partie nocive d'un logiciel)
va se renommer, prendre un nom qui n’est pas suspect (qui change avec le cheval de Troie) et
se place dans un dossier généralement peu fréquenté (du type C:\windows, ou
C:\windows\system, où il existe un grand nombre de fichiers dont l'utilité est parfaitement
28
Benjamin EGRET
ERID 2002
inconnue.). De plus, le troyen va généralement écrire dans la base de registre pour pouvoir
s'exécuter à chaque lancement de l'ordinateur.
A la suite de ces opérations, le cheval de Troie est actif et prêt à être utilisé, suivant la
méthode utilisée par le troyen, celui-ci va attendre qu'il détecte la possibilité de se connecter à
un serveur sur Internet ou alors que le pirate tente de se connecter à la machine. La technique
est toujours la même, après une requête du pirate, le programme ouvre un port, qui permet par
la suite toute communication entre les deux logiciels (serveur et client), de telle sorte que le
pirate peut accéder à tous les fichiers de la personne infectées.
Dès lors, le pirate peut réaliser de très nombreuses choses sur l'ordinateur distant. Lorsqu'une
liaison est établie entre le serveur (la personne « infectée») et le pirate de nombreux
renseignements peuvent ainsi être récupérés :
-
le nom du DNS28, l'adresse IP29, la présence d'un firewall, la présence d'un Proxy30, de
nombreuses informations sur les interfaces (type, vitesse, etc.), les caractéristiques de
l'ordinateur (processeur, mémoire, disque dur...), les navigateurs installés (Internet
Explorer, Netscape), les logiciels de messagerie (Outlook, Eudora, Netscape, etc.), les
programmes enregistrés, le nom réel d'utilisateur, l’adresse e-mail…
Le principal danger des troyens est que ces derniers sont téléchargeables sur de nombreux
sites Internet31. Une personne souhaitant pénétrer dans la machine d’une tierce personne
trouvera facilement tous les outils nécessaires pour parvenir à ses fins. Une fois les outils en
sa possession, elle pourra pénétrer frauduleusement dans un ordinateur, fouiner à sa guise
dans les fichiers, courriels, y opérer des modifications…
28
Domain Name System
Internet Protocol : nom unique servant à identifier un ordinateur connecté à un réseau. Une adresse IP est
composée de 4 nombres et de 3 points.
30
Ordinateur qui s'intercale entre un réseau privé et l'Internet
31
http://membres.lycos.fr/thriller/hacking/
29
29
Benjamin EGRET
ERID 2002
§2 : Contre techniques
Il n’y a pas de solution miracle afin d’éviter d’être infecté par un cheval de Troie. Il faut tout
d’abord être vigilant et ne pas accepter n’importe quel fichier (cela est également valable pour
les virus). Il existe plusieurs moyens de se prémunir contre les troyens : un aspect curatif une
fois que le troyen est déjà présent sur la machine mais on peut également faire en sorte de
réduire le risque d’infection en installant un firewall.
L’aspect curatif peut consister à lancer son anti-virus. Les anti-virus classiques sont capables
de détecter les troyens les plus répandus car, pour la plupart, ils protègent l’ordinateur des
virus mais également des troyens. Le plus important est de lancer régulièrement son anti-virus
afin que ce dernier traque le moindre fichier suspect présent sur la machine. Il faut également
remettre les signatures de son anti-virus régulièrement à jour afin que ce dernier puisse
détecter les derniers troyens.
Cette solution n’est pas la meilleure et il convient d’utiliser des logiciels spécialisés contre les
troyens tels que « The Cleaner »32 développé par la société Moosoft. Ce dernier fonctionne
exactement comme un anti-virus et va scanner l’intégralité du disque dur à la recherche d’un
troyen en vue de l’éradiquer. Il est également nécessaire de lancer le logiciel et de le mettre à
jour régulièrement. Les mises à jour sont très importantes et « The Cleaner » propose environ
cinq mises à jour par semaine. A l’heure actuelle33, la base de données de ce logiciel contient
5471 définitions de troyens.
L’autre solution consiste à essayer d’empêcher l’entrée illicite de tout fichier sur son système.
Le firewall est un dispositif informatique qui filtre les flux d'informations entre un réseau
interne à un organisme et un réseau externe en vue de neutraliser les tentatives de pénétration
en provenance de l'extérieur et de maîtriser les accès vers l'extérieur. Il ne convient pas de
décrire de manière détaillée le fonctionnement d’un firewall mais quelques remarques sont
nécessaires. Il convient également de préciser que la fonction du firewall convient également
afin de lutter efficacement contre les espiogiciels et divers mouchards.
32
33
http://www.moosoft.com/thecleaner
le 15/08/2002
30
Benjamin EGRET
ERID 2002
Un firewall a donc pour mission de contrôler et de filtrer l'accès entre un réseau d'entreprise
ou l'ordinateur d'un particulier et un autre réseau tel qu’Internet. Le firewall peut prendre une
forme matérielle ou logicielle. C’est la partie qui sera abordée ci-après. Le firewall examine
tout le trafic entre les deux réseaux afin de déterminer s'il correspond à certains critères
définis par l'administrateur. Si les données sont autorisées, elles accèdent au réseau. Dans le
cas contraire, elles sont stoppées par le firewall. Ce dernier filtre aussi bien dans le sens de
l'envoi de données vers l'extérieur que dans celui de la réception.
Le filtrage des données par le firewall peut se faire de différentes manières. Il existe le filtrage
par adresses, par applications et par paquets. Les firewalls se répartissent dans ces trois
catégories.
Dans le filtrage par adresses, le firewall ne vérifie que les adresses IP des requêtes extérieures
en les comparant avec une base de données de permission. Ce filtrage a l'avantage d'être très
rapide mais il reste vulnérable à certaines attaques et il suffit ainsi qu'un pirate fasse passer
l'adresse IP de sa machine pour une reconnue par le firewall pour qu'il puisse accéder à votre
ordinateur.
Par un filtrage par applications, le firewall vérifie que la présence de chaque paquet est
légitime en surveillant l'activité de toutes les applications. Les attaques extérieures ne peuvent
alors plus accéder à l'architecture du réseau local. L'inconvénient de cette méthode est qu'elle
nécessite beaucoup de ressources systèmes.
Dans le filtrage par paquets34, le firewall soumet chaque paquet de données reçu à des critères
bien précis. En fonction du paquet et des critères, le firewall peut refuser le paquet, le faire
suivre ou le renvoyer à son expéditeur avec un message. Les critères peuvent inclure l'adresse
IP source et de destination, le numéro de port source et de destination et le protocole utilisé.
L'avantage de ce filtrage par paquet est qu'il n'a pratiquement aucun impact sur les
performances du réseau. C'est ce filtrage que l'on retrouve dans la majorité des firewalls
commerciaux.
34
Unité d'information utilisée pour communiquer sur le réseau.
31
Benjamin EGRET
ERID 2002
En plus de sa fonction de protection, le firewall trace les différentes attaques subies et les
enregistre dans des journaux. Cela permet ainsi de retrouver facilement les auteurs de
l'agression. Il est également possible de cumuler deux firewalls et le plus efficace est d’avoir
un firewall qui filtre les paquets et un autre qui filtre les applications. Il existe une multitude
de firewalls disponibles.
Certaines des techniques d’intrusion décrites précédemment sont licites, d’autres sont
interdites et certaines peuvent être tolérées. Après avoir envisagé l’ensemble des méthodes
constitutives d’intrusion dans un système informatique, il convient de savoir si, au regard de
la loi, de tels actes sont répréhensibles ou non.
32
Benjamin EGRET
ERID 2002
Chapitre 2 : le droit applicable et les différentes sanctions
Plusieurs types de sanctions peuvent en effet être entreprises à l’encontre des personnes
pénétrant dans un système informatique.
Des sanctions pénales sont envisageables (loi Godfrain) De plus, plusieurs Etats européens
ont souhaité harmoniser leur législation nationale afin de lutter plus efficacement contre ces
actes. Enfin, il est également possible de saisir les juridictions civiles (responsabilité civile).
Section 1 : La loi du 05/01/1988 ou loi Godfrain
La Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique constitue le texte majeur
de la législation française en matière de lutte contre le piratage consistant à pénétrer dans un
système informatique sans autorisation préalable. C’est aussi le seul texte pénal susceptible
d'incriminer de tels comportements. Vieille de 14 ans, le caractère actuel de cette loi tient
principalement aux comportements qu’elle incrimine ainsi qu’à la terminologie dont elle use.
En effet, le succès de cette loi vient de son caractère intemporel qui lui permet de dépasser un
obstacle majeur : l’évolution.
La loi du 5 janvier 1988 a été adoptée à la demande des élus de la Nation qui ont
spontanément souhaité combler le vide juridique qui existait jusqu'alors en droit français.
Deux initiatives parlementaires concurrentes ont eu lieu : l'une émanant du Sénat en février
1986 fut rapidement rejetée, l'autre émanant de l'Assemblée Nationale fut acceptée et est
devenue la loi du 5 janvier 1988 sur la fraude informatique, plus connue sous le titre de « loi
GODFRAIN », du nom de son initiateur. Cette loi a été, par la suite, intégrée dans le nouveau
code pénal, entré en vigueur au 01/01/1994.
Les incriminations de la loi Godfrain se résument à deux comportements : l’accès et le
maintien dans un système de traitement automatisé de données35 visé par l’article 323-1 du
code pénal, d’une part, et certaines atteintes ayant pour finalité de toucher le système (article
323-2 du code pénal), d’autre part.
35
STAD
33
Benjamin EGRET
ERID 2002
§1 : L’accès et le maintien dans un STAD
L'article 323-1 du Code pénal regroupe deux infractions de piratage informatique : l'accès
frauduleux dans le système d’une part, et le maintien non autorisé dans le système, d’autre
part.
A) L’accès frauduleux dans le système
Ce délit implique deux conditions : la pénétration matérielle dans tout ou partie du système
d’une part, et l'absence d'autorisation légale, administrative ou contractuelle pour accéder aux
données, d’autre part.
1- la pénétration matérielle dans tout ou partie du système
Pour qu’il y ait une pénétration matérielle dans un système, il n'est pas obligatoire que tous les
éléments du système aient été utilisés et la jurisprudence semble avoir estimé que l'accès
illicite est réalisé quand il existe une communication avec le système. La doctrine est divisée
sur le point de savoir si la simple lecture de l'écran suffit ou non à caractériser l'infraction.
La jurisprudence est muette sur ce point précis mais, dans un arrêt du 05/04/199436, la Cour
d'Appel de Paris a décidé que l'accès illicite pouvait résulter de la simple captation de signaux
parasites émis par des matériels électroniques. La loi ne distingue pas selon les modes d'accès.
Cela implique que toutes les modalités de pénétration irrégulières sont visées et relèvent de
cet article : manipulation illicite, codes d'accès irrégulièrement obtenus, emploi d'un cheval de
Troie, y compris lorsque le délinquant se borne à dénoncer les faiblesses d’un système
informatique.37
36
37
CA Paris, 11e ch, 5 avril 1994, D 1994, IR p.130
TGI Paris, 13e ch., 13 févr. 2002
34
Benjamin EGRET
ERID 2002
2- l'absence d'autorisation légale, administrative ou contractuelle pour
accéder aux données.
La personne n'a pas du tout le droit d'accéder aux données ou n'a pas le droit d'accéder aux
données par les moyens qu'elle a utilisés. Cela implique le non respect des dispositions légales
(par exemple les règles en matière de confidentialité ou de secret), des stipulations du contrat
ou de la volonté du responsable du système.
La loi n'a pas précisé si l'accès illégal impliquait ou non la violation de dispositifs de sécurité.
Ce silence est volontaire car il tient au fait que Sénat et Assemblée nationale avaient une
interprétation divergente quant à la nécessité de cette condition. C'est donc au juge qu'il est en
définitive revenu de trancher ce point. Dans un arrêt rendu par la Cour d'appel de Paris en
1994 (même arrêt que celui énoncé précédemment), il a été décidé que l'infraction d'accès
illicite était constituée même en l'absence de dispositif de sécurité.
Au terme de l’article 323-1 du code pénal, « le fait d'accéder ou de se maintenir,
frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est
puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est résulté soit la
suppression ou la modification de données contenues dans le système, soit une altération du
fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros
d'amende ». Les agissements ainsi réprimés n’ont comme limites que l’imagination de leurs
auteurs. Ce texte trouve notamment à s’appliquer lorsque des salariés ayant perdu leur emploi
vont se venger en pénétrant dans l’ordinateur de leur ancien employeur.38
B) Le maintien non autorisé dans le système
Cette seconde incrimination prévue par l'article 323-1 du Code Pénal, chronologiquement
postérieure à l'accès non autorisé, présente toutefois un intérêt spécifique à l'infraction
précédente dans le cas d'un accès régulier ou autorisé, alors que ce sont les opérations
subséquentes qui sont illégales. La personne n'a pas le droit de demeurer dans le système ou
elle s'y maintient au delà du temps autorisé. Par exemple, la personne qui a accédé
38
T. corr Lyon, 20 février 2001
35
Benjamin EGRET
ERID 2002
régulièrement à un service informatique s'y maintient et envoie des messages pour tenter de
corrompre des clients (Cour d'Appel de Paris 05/04/1994).
La jurisprudence a ajouté une condition supplémentaire, restreignant ainsi la portée de
l'infraction. Il faut que la personne sache qu'elle n'avait pas le droit d'agir comme elle l'a fait.
En l'occurrence, la Cour d'Appel de Paris a estimé qu'il n'y avait pas d'infraction en cas
d'ignorance par l'intéressé de l'absence d'autorisation.
En revanche, l'intention de nuire n'est pas un élément constitutif du délit et l'infraction existe
même sans dommage ou sans préjudice. Simplement, les conséquences dommageables seront
prises en compte au niveau de la répression. Elles constituent en effet des circonstances
aggravantes, qui entraînent une multiplication par deux des peines, soit deux ans de prison.
Le terme « frauduleusement » doit donc être entendu comme étant « la conscience chez le
délinquant que l’accès ou le maintien ne lui était pas autorisé et qu’il agissait contre le gré du
maître du système ».39
C) Le cas du cookie et de l’espiogiciel
Nous ne reviendrons pas sur les définitions du cookie et de l’espiogiciel qui ont déjà été
présentés. L’emploi des cookies n’est pas en lui-même constitutif d’un comportement
frauduleux puisque leur finalité est de permettre une recherche aisée sur Internet et un gain de
temps pour certains types de sites Web (commerce électronique notamment). Ce n’est pas le
cas de l’espiogiciel qui agit toujours à l’insu de l’internaute.
Toutefois, le cookie peut se présenter de deux manières différentes : l’internaute est averti de
la présence du cookie et l’internaute n’est pas averti de sa présence. Nous ne nous
intéresserons ici qu’à la seconde hypothèse, c’est-à-dire aux cookies utilisés de manière
transparente. Ces derniers sont à rapprocher étroitement des espiogiciels puisqu’ils agissent de
manière similaire, en jouant le rôle d’un espion chargé de prendre des données à l’insu des
internautes.
39
LESTANC C : Com. Com. électr. avril. 2002
36
Benjamin EGRET
ERID 2002
1- élément matériel de l’infraction
Au regard de l’article 323-1 du code pénal, l’infraction se déroule en deux phases. Le fait
d’entrer, lors de la connexion, dans l’ordinateur de l’internaute (STAD) alors même que
celui-ci l’ignore constitue la première phase de l’infraction : l’accès. On peut parler
d’infraction puisque l’internaute n’a nullement autorisé cet accès.
La deuxième phase de l’infraction est réalisée dès lors que le cookie ou l’espiogiciel se
maintient dans le STAD de l’internaute le temps d’y enregistrer des données pour le cookie et
de les acheminer de l’internaute vers le serveur pour l’espiogiciel.
La notion de « maintien » doit être entendue de manière large et le législateur parlera tantôt de
maintien « actif » ou « passif ». Le maintien actif est à envisager pour les cookies puisqu’il y
a enregistrement de données sur le disque dur. Concernant les espiogiciels, compte tenu de la
nature ambiguë, le maintien sera tantôt actif tantôt passif puisqu’il n’y a pas une seule
catégorie d’espiogiciels mais plusieurs espiogiciels qui agissent de manière différente.
Les éléments matériels de l’accès et du maintien dans un STAD étant remplis, qu’en est-il de
l’élément moral ?
2- élément moral de l’infraction
Le cookie et l’espiogiciel accèdent-ils et se maintiennent-ils de manière frauduleuse ? Nous
pouvons répondre à cette question par l’affirmative. En effet, le fait de ne pas avoir obtenu
d’autorisation pour accéder et se maintenir dans un STAD constitue une fraude. De plus, le
cookie étant invisible aux yeux de la plupart des internautes – seul l’internaute expert sera à
même de l’identifier – ces derniers sont dans l’impossibilité de s’opposer à ce type d’intrusion
puisqu’elle est invisible.
L’espiogiciel ne pose pas de souci majeur puisqu’il est par nature invisible aux yeux de
l’internaute. En revanche, le cookie doit être analysé de manière différente puisque
l’internaute a la possibilité d’interdire tout cookie en configurant son navigateur Internet,
comme nous l’avons vu précédemment.
37
Benjamin EGRET
ERID 2002
Cette démarche n’est pas très commode pour l’internaute et rendra la navigation sur Internet
insupportable puisqu’il faudra refuser les cookies à chaque ouverture d’une nouvelle page
Web. De plus, la plupart des internautes novices ne connaissent pas cette manipulation et tous
les navigateurs présents sur le marché autorisent par défaut les cookies.
Enfin, même si vous avez paramétré votre navigateur Internet de manière à ce que vous soyez
informé de toute tentative d’installation d’un cookie sur votre disque dur, il est fort possible
que vous ne puissiez pas accéder à certains sites qui n’autoriseront leur accès qu’en l’échange
de l’installation d’un cookie sur votre disque dur, à l’instar d’un droit d’entrée.40 Le
consentement n’est plus vraiment éclairé et Mme Mallet-Poujol41 parle même de
consentement vicié.
Dès lors, on peut établir que le cookie, au même titre que l’espiogiciel, accède et se maintient
dans un STAD de manière frauduleuse au sens de l’article 323-1 du code pénal.
La législation française actuelle sur les cookies repose sur « l’opt out ». En d’autres termes,
les cookies sont autorisés à accéder sur l’ordinateur de l’internaute par défaut sauf stipulation
contraire par l’internaute. La démarche contraire est celle de « l’opt in » et consiste à
demander à l’internaute son autorisation avant tout envoi de cookie sur sa machine. Le
Parlement Européen s’est récemment prononcé sur le sujet, en date 30 mai 2002, en adoptant
la directive sur « le traitement des données à caractère personnel et la protection de la vie
privée dans le secteur des communications électroniques ». Cette dernière fera l’objet d’une
étude plus approfondie dans la seconde partie du mémoire.
La répression des cookies et des espiogiciels par la loi Godfrain n’exclut pas d’autres
qualifications. Dans la mesure où les cookies et les espiogiciels peuvent déboucher sur un
traitement automatisé de données nominatives, il est possible de s’attaquer à ce type
d’agissement sur le fondement de la loi du 6 janvier 1978 à travers son volet pénal, par le
biais des articles 226-16 à 226-24 du code pénal.
40
VIVANT M., LE STANC C., Lamy Droit de l’Informatique et des Réseaux, 2001, n°2660
Mallet-Poujol N., Les libertés de l'individu face aux nouvelles technologies de l'information, Cah. français
n° 296, Doc. fr., 2000, p. 59, spéc. p. 65
41
38
Benjamin EGRET
ERID 2002
§2 : Les atteintes ayant pour finalité de toucher le système
La loi Godfrain prévoit deux types d’atteintes : les atteintes directes au système et les atteintes
indirectes.
A) Atteinte directe (article 323-2)
L’article 323-2 du code pénal est ainsi rédigé : « Le fait d'entraver ou de fausser le
fonctionnement d'un système de traitement automatisé de données est puni de trois ans
d'emprisonnement et de 45000 euros d'amende. »
Il convient d’identifier les différentes atteintes pouvant entrer dans le champ d’application de
cet article du code pénal et nous nous intéresserons au « spamming » ainsi qu’aux chevaux de
Troie.
1- Le spamming
Le spamming ou courrier non sollicité désigne l'action d'envoyer un message non souhaité et
dérangeant à une personne ou à un groupe de personnes, généralement dans un but
promotionnel ou publicitaire. Sont notamment considérés comme des actes de spamming :
•
le fait d'envoyer un courriel à un ou plusieurs inconnus pour leur suggérer de visiter un
site Web ou d'acheter un produit ;
•
le fait d'inclure un individu dans une liste de diffusion sans son consentement
préalable ou de l'empêcher de se désabonner ;
•
le fait de diffuser sur un forum de discussion des messages sans rapport avec le thème
abordé, dans un but provocateur ou commercial.
Le spamming peut également consister à envoyer des milliers voire des dizaines de milliers de
messages appelés « mailbombs » à un unique destinataire, dans le but de saturer la boîte
réceptrice et d’occasionner ainsi des dommages divers. Cette technique est appelée le
« mailbombing ».
Ces messages sont vides, revendicatifs voire injurieux, et potentiellement accompagnés de
fichiers joints volumineux selon que l'objectif est une attaque DOS du serveur de messagerie
39
Benjamin EGRET
ERID 2002
ou la saturation de la boîte aux lettres de la victime. Certains virus comme Sircam pratiquent
occasionnellement le mailbombing, et sont ainsi capables de s'envoyer en plusieurs centaines
d'exemplaires à la même personne en un temps réduit.
La question est de savoir si de tels agissements sont susceptibles d’être réprimés au titre de
l’article 323-2 du code pénal ?
L’élément matériel de l’infraction ne semble pas poser de problème puisque envoyer
massivement des données dans le seul but de saturer la boîte de réception est un acte positif
constituant une entrave.
L’élément moral pose plus de difficultés en cas de « spamming » à vocation commerciale.
Dans un arrêt rendu par la Cour d’Appel de Paris le 05/04/1994, cette dernière s’était appuyée
sur l’article 323-2 du code pénal pour condamner les prévenus. Dans cette affaire, une société
exploitait un service minitel accessible par le 3615, qu’un concurrent avait investi en
multipliant les envois automatiques de message ce qui avait eu pour conséquence de ralentir
la capacité du serveur.
Avec le recul, on peut estimer que l’application de l’article 323-2 du code pénal n’était peut
être pas la meilleure façon de résoudre le litige. En effet, l’article 323-2 du code pénal exige
une intention frauduleuse alors que le spamming ne constitue pas une technique destinée à
frauder. L’utilisation de l’article 323-1 alinéa 2 du code pénal semble dès lors plus judicieuse
concernant le « spamming » à vocation commerciale. Ainsi, l’accès sans droit au STAD serait
constitué en accédant à une boîte aux lettres électronique sans l’accord de son propriétaire et
le « bourrage » de cette dernière constituerait une entrave.
Il convient d’ajouter que la loi Godfrain ne constitue pas le seul texte pouvant résoudre le
problème posé par le « spamming ». La Directive Européenne du 20 mai 1997 relative aux
contrats à distance et la Directive du 4 mai 2000 relative au commerce électronique ont pris
en compte le « spamming ». Elles ont opté pour la mise en place des systèmes de l’opt in et
d’opt out prévoyant que les émetteurs devront obtenir l’accord de l’internaute préalablement à
tout envoi de courriers électroniques à des fins publicitaires.
Le Parlement Européen a récemment adopté la directive sur « le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des communications
40
Benjamin EGRET
ERID 2002
électroniques », en date du 30 mai 2002. Cette directive s’intéresse notamment au spam et
laisse le dernier mot à chaque Etat membre quant au choix des deux principes « opt-in » et
« opt-out ».
2- Les chevaux de Troie
Un cheval de Troie est donc, comme vu précédemment, un programme informatique
dissimulé dans un système informatique ayant pour finalité de pénétrer dans un système, en se
mettant à l’abri des mécanismes de protection, afin d’y pirater les données y figurant.
Cet acte relève donc bien de l’article 323-2 du code pénal. Les chevaux de Troie peuvent être
assimilés à des virus en ce sens qu’ils peuvent entraîner la destruction complète de
programmes.
L’élément matériel est constaté dès lors que le délinquant provoque des dommages. Deux
informaticiens ont ainsi été condamnés pour notamment escroquerie et abus de confiance, en
pénétrant, à l’aide d’un cheval de Troie, dans les systèmes d’EDF, du Centre d’Etude
Nucléaire de Saclay, de l’Office National d’Etudes et de Recherche Aérospatiale de Fruehauf,
et d’une entreprise de pompes funèbres générales.42
L’élément moral est quant à lui lié à l’élément matériel. L’intention frauduleuse de l’auteur
sera facile à démontrer et pourra même être déduite des faits.43
B) Atteinte indirecte (art 323-3)
L'article 323-3 du Code pénal vise les manipulations illicites de données et est ainsi rédigé :
« Le fait d'introduire frauduleusement des données dans un système de traitement automatisé
ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois
ans d'emprisonnement et de 45000 euros d'amende. »
42
43
TGI Limoges, 18 mars 1994
Cour d’Appel de Paris, 14 janvier 1997, JurisData n°020128
41
Benjamin EGRET
ERID 2002
Au même titre que l’article 323-2 du code pénal, le présent article peut également s’appliquer
en cas d’utilisation d’un cheval de Troie dès lors que le troyen supprimera ou modifiera les
données.
Ont ainsi été sanctionnées au titre de cet article des introductions volontaires de virus ou de
chevaux de Troie au lieu et place du programme normal. Ce délit suppose un dol général.
L'auteur agit en ayant conscience de porter atteinte à l'intégrité des données et en sachant qu'il
n'est pas habilité à les manipuler.
Ce ne sera en revanche pas le cas d’une personne fabriquant une disquette de démonstration
se trouvant infectée par un virus puisque la connaissance de ce virus ne parait pas établie.
En revanche, la loi n'exige pas de dol spécial : il n'est donc pas nécessaire d'établir que ces
actes délibérés sont commis avec une intention particulière, comme la volonté de causer un
préjudice spécial.
La loi Godfrain constitue un bon moyen de réprimer les différentes attitudes décrites
précédemment mais elle souffre de carences.
§3 : Carences
La loi Godfrain souffre de plusieurs maux. Tout d’abord, le mécanisme législatif est resté
pour l'essentiel théorique car les tribunaux ne l'ont appliqué qu'en de rares occasions. Ainsi, il
n'existe ni décision de justice portant condamnation pour simple accès frauduleux, ni
condamnation de club de hackers. L'essentiel des jugements des juridictions du fond a porté
sur les atteintes aux données ou aux systèmes informatiques dans un environnement
électronique classique.
De plus, on constate que les dispositions visant à interdire de telles pratiques ne font pas
l’objet d’une grande « publicité » à l’opposé des infractions relevant du droit d’auteur.
Enfin, il faut convenir qu’il ne faut pas faire de différence entre les deux types d’hackers
existants. Le premier type d’hackers ne cherchera qu’à commettre des actes dommageables et
percevra cela comme un jeu, un challenge et restera anonyme. Le second type d’hackers ne
42
Benjamin EGRET
ERID 2002
cherchera à pénétrer dans des systèmes qu’en vue de monnayer son savoir-faire auprès de
leurs victimes et s’empressera de se faire connaître sitôt son méfait accompli.
Le projet de loi « Société de l'information » a été approuvé en Conseil des ministres le 13 juin
2001 et une de ses principales dispositions renforce les moyens de lutte contre la
cybercriminalité. Ce texte comprend notamment diverses dispositions relatives au droit pénal,
à la procédure pénale et à la responsabilité pénale, y compris celle des fournisseurs de
services et tend à renforcer la législation actuelle en matière de répression contre le piratage.
§ 1 : Le droit international
La convention internationale contre la cybercriminalité a été adoptée le 23/11/2001 à
Budapest. Le Conseil de l’Europe s'est attaché à mettre sur pied une convention capable de
répondre aux défis que pose la criminalité informatique. Ce texte qui constitue une première
au niveau mondial vise avant tout à garantir la sécurité du réseau et de ses utilisateurs.
Les Ministres ou leurs représentants des 26 Etats membres suivants ont signé le traité :
Albanie, Arménie, Autriche, Belgique, Bulgarie, Croatie, Chypre, Estonie, Finlande, France,
Allemagne, Grèce, Hongrie, Italie, Moldova, Pays-Bas, Norvège, Pologne, Portugal,
Roumanie, Espagne, Suède, Suisse, " l"ex-République yougoslave de Macédoine ", Ukraine et
Royaume-Uni.
De plus, le Canada, le Japon, l'Afrique du Sud et les Etats-Unis, qui ont participé à son
élaboration, ont également signé la Convention.
La Convention détermine trois principaux axes de réglementation : l'harmonisation des
législations nationales concernant la définition des crimes, la définition des moyens
d'enquêtes et de poursuites pénales adaptés à la mondialisation des réseaux et la mise en place
d'un système rapide et efficace de coopération internationale.
43
Benjamin EGRET
ERID 2002
A) Les infractions répertoriées
Les infractions retenues sont toutes soumises à deux conditions générales : les comportements
incriminés doivent toujours être commis de façon intentionnelle et « sans droit » pour que la
responsabilité pénale soit engagée. Elles sont répertoriées selon quatre grandes catégories:
- les infractions contre la confidentialité, l'intégrité et la disponibilité des données et
systèmes : accès illégal, interception illégale, atteinte à l'intégrité des données, atteinte à
l'intégrité du système, abus de dispositif
- les infractions informatiques : falsification et fraude informatiques
- les infractions se rapportant au contenu : actes de production, diffusion, possession de
pornographie enfantine. Un protocole additionnel devrait inclure la propagation d'idées
racistes et la xénophobie à travers les réseaux
- les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : la
distribution à grande échelle de copies illégales d'oeuvres protégées etc…
B) De nouvelles procédures
La convention prévoit des règles de base qui faciliteront la conduite d'enquêtes dans le monde
virtuel et qui représentent de nouvelles formes d'entraide judiciaire. Ainsi sont prévues : la
conservation des données stockées, la conservation et divulgation rapide des données
relatives au trafic, la perquisition des systèmes et la saisie de données informatiques, la
collecte en temps réel des données relatives au trafic et l'interception de données relatives au
contenu.
Ces dispositions sont soumises aux conditions légales des pays signataires mais doivent
garantir le respect des Droits de l'homme et l'application du principe de proportionnalité. En
particulier, les procédures ne pourront être engagées que sous certaines conditions, telle que,
selon le cas, l'autorisation préalable d'un magistrat ou d'une autre autorité indépendante.
44
Benjamin EGRET
ERID 2002
C) Les règles de la coopération internationale
A côté des formes traditionnelles de coopération pénale internationale prévues notamment par
les conventions européennes d'extradition et d'entraide judiciaire en matière pénale, la
nouvelle Convention exigera des formes d'entraide correspondant aux pouvoirs définis
préalablement par la Convention et, en conséquence, que les autorités judiciaires et services
de police d'un Etat puissent agir pour le compte d'un autre pays dans la recherche de preuves
électroniques, sans toutefois mener d'enquêtes ni de perquisitions transfrontalières. Les
informations obtenues devront être rapidement communiquées.
§2 : Le droit civil
Alors que la responsabilité pénale vise à sanctionner une personne qui commet une infraction,
la responsabilité civile est l’obligation légale qui incombe à une personne de réparer le
dommage causé à autrui.
La responsabilité constitue donc l’obligation de réparer le préjudice résultant soit de
l’inexécution d’un contrat (responsabilité contractuelle : Art. 1147 du Code civil), soit de la
violation du devoir général de ne causer aucun dommage à autrui par son fait personnel (Art.
1382 du Code civil), ou du fait des choses dont on a la garde, ou du fait des personnes dont on
répond (Art. 1384 du Code civil). Lorsque la responsabilité ne résulte pas d’un contrat, elle
est dite délictuelle.
Le problème rencontré sur Internet est lié au problème de l’identification. En effet, comment
identifier de manière certaine l’auteur d’un site Web qui aurait commis divers actes
malveillants (spamming, troyens…) et comment le sanctionner ?
Devant la difficulté à identifier l’internaute, il a été convenu de sanctionner l’intermédiaire à
défaut de l’internaute : il s’agit bien entendu du fournisseur d’accès à Internet. L’enjeu étant
l’indemnisation, la jurisprudence a décidé d’opter pour une sensibilisation des intermédiaires,
mêmes passifs, sur leur responsabilité.
45
Benjamin EGRET
ERID 2002
L’hébergeur ne verra sa responsabilité engagée qu’à la triple condition :
•
qu’il ait la faculté technique d’intervenir
•
qu’il ait eu connaissance du site critiquable
•
qu’il ait choisi de ne rien faire
Ce type de responsabilité se rencontre principalement dans des affaires liées au droit d’auteur
telle que l’affaire Estelle Hallyday rendue par la Cour d’Appel de Paris en date du 10 février
1999.
En matière de logiciel indiscret, il paraît difficile d’engager la responsabilité civile du
fournisseur d’accès à Internet. En effet, ce dernier n’aura pas connaissance des actes ainsi
pratiqués, compte tenu de leur nature invisible.
Ainsi, un fournisseur d’accès à Internet ayant comme client un internaute envoyant
délibérément des troyens, ne pourra pas voir sa responsabilité civile mise en cause par la
personne ayant reçu lesdits fichiers puisque le fournisseur d’accès Internet pourra établir très
facilement ne pas avoir eu connaissance des agissements. Cet exemple montre l’absurdité
d’une telle action en matière de logiciel indiscret.
De plus, dans l’exemple pris ci-dessus, la victime des troyens sera également confrontée à des
problèmes de preuve, encore faut-il qu’elle sache que son ordinateur soit infecté !
En revanche, la responsabilité civile, telle qu’envisagée précédemment, sera plus facilement
envisageable mais pas complètement justifiée dans l’exemple suivant : un internaute, titulaire
d’un site Internet, envoie des cookies aux internautes s’y connectant.
Le fournisseur d’accès Internet, connaissant la pratique de l’ensemble des sites Web et l’usage
qu’ils font des cookies, serait dans une situation tout à fait différente que dans l’exemple
précédent. Toutefois, d’autres conditions devraient être apportées afin que ce dernier soit
condamné à verser des dommages-intérêts à la victime de son abonné.
Après avoir envisagé les méfaits des logiciels indiscrets comme relevant d’une atteinte aux
biens, il convient désormais de les envisager sous la forme d’une atteinte aux personnes.
46
Benjamin EGRET
ERID 2002
PARTIE II
Les logiciels indiscrets : une atteinte aux
personnes
47
Benjamin EGRET
ERID 2002
Avec l’avènement d’Internet, la notion d’identifiants est désormais une composante de notre
société. Conscient des problèmes liés à ces identifiants et afin de préserver au mieux l’intimité
et la vie privée des internautes, la loi du n° 78-17 du 6 janvier 1978 est intervenue. Le réel
succès de cette loi vient de la création de la C.N.I.L. qui est l’organe chargé de veiller à la
bonne exécution de la loi.
Il convient d’étudier les méthodes permettant d’identifier les interlocuteurs, d’une part, et les
règles applicables concernant la collecte des données personnelles, d’autre part.
Il convient de distinguer l’utilité du cookie lors du processus d’identification, d’une part, et
les nouveaux moyens mis en œuvre pour l’établissement de l’identité, d’autre part.
§1 : L’utilité du cookie lors du processus d’identification
A) Les avantages du cookie
Le cookie présente tout d’abord un intérêt pour les professionnels du réseau et plus
particulièrement pour le secteur de la vente par correspondance. En effet, le cookie va
permettre de cibler les clients qu’ils soient actuels ou potentiels.
Le cookie ne se résume pas à cela, et une fois implanté sur un poste client, il pourra identifier
les utilisateurs, contrôler les mots de passe, analyser leur parcours au cours d’une session,
mesurer l’audience d’un site, etc…
Cette technique permet ainsi de développer une nouvelle forme de marketing appelé le « one
to one ». La globalisation des marchés entraîne une standardisation des produits et des
services. Les entreprises sont donc de plus en plus confrontées à une érosion de leurs marges
et à une volatilité de leurs clientèles.
48
Benjamin EGRET
ERID 2002
Pour contrer ce phénomène, l'entreprise doit, plus que jamais, mettre le client au centre de sa
stratégie pour être en mesure de :
- lui offrir des services personnalisés qui le fidéliseront
- rester à son écoute pour anticiper ses besoins
- profiter de chaque interaction pour mieux le connaître afin de mieux le servir
Le marketing « one to one » est une démarche qui répond aux besoins énoncés précédemment
en se basant sur deux axes : la collecte systématique et continue d'informations sur chaque
client et l'utilisation des ces informations lors de chaque interaction avec le client pour
personnaliser la relation et offrir un meilleur service
Contrairement au marketing de masse, le one to one offre au client que vous ciblez des
services, des informations et des produits personnalisés, qui l'intéressent vraiment. Le cookie
est donc un outil indispensable pour le marketing « one to one ».
En matière de publicité, le cookie joue également un rôle majeur. Il permettra, dans un
premier temps, au site Web utilisant des bandeaux publicitaires sur son site de se faire
rémunérer. En effet, les cookies sont indispensables aux sites pour disposer d'une mesure
fiable de leur audience. Sans mesure d'audience, il ne peut pas y avoir de marché publicitaire.
Or, la publicité est une partie non négligeable des revenus des éditeurs.
Dans un second temps, le cookie joue un rôle de personnalisation de la publicité, qui, en
fonction des critères de l’internaute contenus dans le cookie (sexe, goûts, navigation, …) va
deviner vos centres d’intérêt et vous proposer des annonces adaptées (ciblage de la clientèle).
Le cookie joue donc le rôle d’un indicateur en matière de publicité et ce dernier pourra
amener les responsables du site Web à modifier l’emplacement de leurs bannières
publicitaires afin d’en augmenter leurs tarifs. En effet, les tarifs pratiqués pour l’insertion d’un
message publicitaire dans un site Web sont dépendants de la popularité du site.
Le cookie peut également servir d’indication au créateur d’un site Web qui peut retracer
l’itinéraire emprunté par un internaute sur son site. S’il estime que l’internaute n’a pas accédé
à ce qu’il souhaitait de manière directe, il peut, le cas échéant, optimiser son site afin de
rendre sa visite plus homogène.
49
Benjamin EGRET
ERID 2002
Dans cette perspective, certains sites Web proposent un accès personnalisé aux internautes qui
accèderont d’office aux pages qu’ils consultent le plus souvent.
Toutes les données ainsi collectées par les cookies restent anonymes et, dans le meilleur des
cas, elles n’identifieront qu’un ordinateur (adresse IP). Il est toutefois possible de connaître
l’identité d’une personne à partir d’une adresse IP. Le Fournisseur d’Accès à Internet (FAI)
est en effet capable d’identifier l’internaute se trouvant « derrière » une adresse IP puisque
c’est ce dernier qui les attribue mais il n’a en revanche aucune raison de divulguer le nom de
cette personne. De plus, l’adresse IP ne permet pas de connaître le nom de la personne qui se
trouvait en train de surfer au moment où elle a été relevée. Elle ne permet d’identifier que le
titulaire du contrat d’abonnement. Cette limite est assez restrictive puisque, dans la majorité
des cas, il n’y a qu’un seul utilisateur par ordinateur qui se trouve être le titulaire dudit contrat
d’abonnement.
Dans la plupart des cas, le cookie ne constitue donc qu’un outil de profilage et les données
ainsi collectées restent anonymes. L’anonymat sera levé dès lors que l’internaute aura laissé
ses coordonnées sur le site.
Les cookies présentent moins d’avantages pour les internautes qu’ils n’en présentent pour les
professionnels.
Les cookies permettant aux créateurs de sites Web de suivre les déplacements des internautes
à l’intérieur de leur site, il est donc possible, une fois le trajet habituel de l’internaute analysé,
de lui permettre d’accéder directement aux pages qu’il consulte le plus souvent. L’internaute
accèdera ainsi à la page souhaitée avec une rapidité incontestable.
B) Un identifiant toléré mais encadré
Le cookie apparaît comme une collecte limitée de données puisqu’il ne peut enregistrer que
des informations que l’internaute a consenti à faire paraître. Ainsi, s’il a configuré son
navigateur en indiquant son adresse courriel, le cookie sera capable de récupérer son adresse
courriel. L’internaute ne souhaitant pas divulguer son adresse n’est donc pas obligé de
l’inscrire dans son navigateur. Encore faut-il que tous les internautes connaissent cette
pratique, ce qui est loin d’être certain !
50
Benjamin EGRET
ERID 2002
Le cookie est un fichier texte et, à l’inverse d’un programme informatique, il ne permet pas la
recherche active d’une information contenue dans ce cookie mais uniquement d’y stocker des
informations. Le cookie permet de stocker différents éléments tels que la date et l’heure
permettant à l’administrateur du site Web de calculer la fréquence des visites.
Le cookie ne contient donc aucune information nominative et il n’en contiendra qu’à partir du
moment où l’internaute aura volontairement enregistré ses coordonnées. Toutefois, il y a un
certain temps, une faille de sécurité existait dans Java Script. Cette faille permettait aux
administrateurs de sites les moins scrupuleux de récupérer l’adresse courriel de l’internaute
sans que ce dernier ne l’ait fourni à un quelconque moment. Cette faille a heureusement été
découverte et corrigée avec la version ultérieure.
D'autres failles existent, plus subtiles et relevant souvent du bogue. Il s’agit du problème de
certaines URL utilisant des caractères spéciaux permettant ainsi de tromper le navigateur sur
la provenance des réponses HTTP et de déposer ou de récupérer des cookies destinés à un
autre site. Pour se prémunir de ce genre de problème, il est conseillé de mettre à jour
régulièrement la version de son navigateur.
Le cookie peut donc présenter certains risques même si, dans l’ensemble, les données ainsi
collectées sont plutôt limitées. La C.N.I.L. a eu l’occasion de se prononcer sur les cookies.
En effet, la C.N.I.L., dans son 18ème rapport annuel (1997), avait considéré les cookies comme
des fichiers de données nominatives, dont le traitement automatisé nécessite une déclaration.
Les règles applicables en matière de données personnelles seront traitées dans le chapitre 2 de
la présente partie.
De plus, la circulaire du 7 octobre 1999 relative aux sites Internet des services de l'Etat
impose certaines choses :
« Les sites publics doivent s'attacher à garantir la confidentialité des données à caractère
personnel qu'ils sont amenés à traiter, qu'il s'agisse de données relatives aux agents ou aux
usagers. L'emploi de témoins de connexion (« cookies ») permanents doit, de manière
générale, être évité ».
51
Benjamin EGRET
ERID 2002
« S'il est néanmoins décidé d'y recourir, parce qu'il apparaît de nature à améliorer
significativement le service rendu à l'usager, ce ne peut être que sous deux conditions
cumulatives :
•
l'usager en est préalablement averti ;
•
il lui est proposé un mode alternatif d'accès au service. Il est rappelé que, en vertu de
la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,
toute personne peut s'opposer à la diffusion d'informations la concernant. Ce droit,
qui est ouvert aux usagers comme aux agents de l'administration, peut s'exercer avant
l'ouverture du site, mais aussi à tout moment une fois que le site est ouvert. Il va de
pair avec un droit d'accès et de rectification des données ».
Le site de la C.N.I.L. permet, avec sa rubrique « vos traces », de mettre en lumière de façon
explicite le problème du suivi des internautes.
Dans son 22ème rapport d’activité44, la C.N.I.L. nous fait part des nouvelles dispositions
concernant les cookies figurant dans le projet de loi résultant de la directive du 24 octobre
1995 : « La transposition de la directive du 24 octobre 1995 a connu une première étape
législative importante : le projet de loi, adopté en Conseil des ministres après consultation de
la CNIL et avis du Conseil d’État, a fait l’objet d’un premier vote à l’Assemblée nationale le
30 janvier 2002 et a été adopté sans modifications substantielles par rapport aux grandes
orientations gouvernementales qui avaient été exposées dans le précédent rapport d’activité.45
Toutefois, certaines dispositions nouvelles qui ont été introduites au cours de ces premiers
débats parlementaires, méritent d’être présentées. »
« Le projet comporte désormais des dispositions spécifiques sur Internet, et tout
particulièrement sur les cookies. Ces dispositions ont fait l’objet de nombreux commentaires
et, semble-t-il, d’importantes discussions avec les professionnels concernés.
Elles précisent que l’utilisation des réseaux en vue de stocker des informations dans le
terminal d’un internaute (le disque dur), ou d’accéder à des informations ainsi préalablement
stockées dans le terminal (la lecture d’un « cookie » précédemment stocké), n’est autorisée
que si l’internaute a été préalablement informé de manière « claire et complète » des finalités
44
45
22ème rapport d’activité pour 2001, p. 33
21ème rapport d’activité pour 2000, p. 17
52
Benjamin EGRET
ERID 2002
du cookie et des moyens de s’y opposer. Elles interdisent par ailleurs de subordonner l’accès à
un service Web à l’acceptation des cookies, et ménagent des dérogations lorsque le cookie a
pour seule finalité d’assurer la sécurité d’une connexion, ainsi par exemple, l’accès à une
messagerie distante. »
« Ces dispositions consacrent la doctrine développée par la CNIL qui n’avait pas estimé utile
de suggérer qu’elles soient consacrées au niveau législatif. L’amendement initialement
présenté s’inspirait de très près d’un amendement que le Parlement européen avait adopté à
l’occasion de la révision de la directive relative à la protection des données personnelles en
matière de télécommunications. L’amendement discuté devant le Parlement européen avait
pour objet d’interdire que des informations puissent être stockées dans l’équipement terminal,
d’un abonné, ainsi que tout accès à des informations stockées dans ce terminal sans le
consentement préalable de la personne concernée. Cette disposition visait à interdire les
logiciels espions et ne pouvait, à ce titre, qu’être approuvée. Cependant elle conduisait
également à soumettre au consentement préalable de l’internaute l’usage des cookies. »
« Dans sa généralité, une telle disposition ne paraissait pas adaptée, ce qui a conduit la CNIL
à diffuser un communiqué de presse le 7 décembre 2001 sur cette question. S’il est vrai, en
effet, que certains usages de cette technologie, notamment aux États-Unis, ont pu susciter de
légitimes inquiétudes il y a quelques années, la réaction des internautes et des autorités de
protection des données ont largement permis de les apaiser. Ainsi, les navigateurs les plus
répandus permettent, grâce à un paramétrage très simple à mettre en œuvre, d’être
systématiquement informé de l’envoi d’un cookie et de s’y opposer. Ils permettent également
de refuser systématiquement tout cookie. Enfin, à la différence des données personnelles
enregistrées sur le serveur d’un tiers, les cookies qui ne peuvent être lus que par son émetteur
peuvent être effacés par l’internaute de son disque dur. La rubrique « Vos traces sur Internet »
sur www.cnil.fr46 donne les précisions utiles à cet égard. »
La CNIL a rappelé que la plupart des cookies jouent le rôle de simples « témoins de
connexion » destinés à faciliter la navigation sur un site Web ou à sécuriser l’accès (à sa
messagerie électronique par exemple) sans avoir à ressaisir des informations identifiantes, et
qu’elle recommandait depuis juillet 1998 que le site émetteur informe les internautes de la
46
Annexe 3
53
Benjamin EGRET
ERID 2002
finalité des cookies, de leur durée de validité s’ils ne sont pas effacés par l’internaute à l’issue
de la session, et des conséquences de la désactivation de ces procédés. Elle indiquait qu’une
information claire et complète sur ces points était seule de nature à apaiser les inquiétudes
trop souvent encore entretenues par un regrettable défaut de transparence. En définitive, la
Commission considère comme satisfaisante la rédaction d’équilibre finalement retenue, à ce
stade de la procédure parlementaire, par l’Assemblée nationale. »
Un autre problème concernant les cookies est relatif aux règles dites d’opt in et d’opt out.
En adoptant le 30 mai 2002 la directive sur « le traitement des données à caractère personnel
et la protection de la vie privée dans le secteur des communications électroniques », le
Parlement européen a, finalement, assouplit sa position sur les cookies utilisés par les sites
internet.
Inquiets des pratiques abusives de certains sites de commerce électronique et des violations de
la vie privée en ligne, nombre d'acteurs de la scène politique européenne militaient en faveur
d'une action forte : l'installation d'un cookie sur un ordinateur devrait nécessiter l'obtention de
l'accord préalable de son propriétaire.
La position commune annoncée mercredi 30 mai, entre le Parlement et le Conseil, part du
principe que les cookies ont un intérêt pour la publicité et les transactions en ligne, ainsi que
pour l'architecture d'un site.
À l'avenir, le Parlement souhaite que les sites Web fournissent « des informations claires et
précises sur les finalités des cookies ». Les administrateurs de sites devront également laisser
la possibilité aux internautes de refuser l'installation d'un cookie, et le texte final de la
directive précise que « les méthodes mises en oeuvre pour délivrer l'information, proposer le
droit de refuser ou demander le consentement devront être aussi conviviales que possible ».
Dans un autre registre, le 22ème rapport d’activité de la C.N.I.L., a annoncé une action
d'envergure concernant la pratique du spamming. Une boîte aux lettres électronique
[email protected] est ouverte. Les personnes sont invitées à transférer vers cette « boîte à spam »
les courriels publicitaires non sollicités qu'elles reçoivent.
54
Benjamin EGRET
ERID 2002
Pour permettre l’identification des expéditeurs via l’en-tête du message d’origine, il convient
soit de « transférer le Spam en tant que pièce jointe », soit d’effectuer un copier/coller de la
source du message.
Cette opération vise à dégager les grandes tendances du spamming (origine géographique,
sources d'émission, nature des messages, fournisseurs d'accès concernés….) en France mais
aussi à identifier les auteurs des messages les plus problématiques, afin le cas échéant
d'engager des poursuites pénales (dénonciation au parquet). Début août 2002, la C.N.I.L. avait
déjà enregistré 63 000 messages reçus.
55
Benjamin EGRET
ERID 2002
§2 : Les espiogiciels, un nouvel outil de collecte de l’information
Les espiogiciels qui ont fait l’objet d’une explication technique dans la partie 1 du présent
mémoire n’emportent pas les mêmes conséquences juridiques que les cookies.
En effet, les espiogiciels, par leur nature et leur destination, présentent plusieurs inconvénients
à l’encontre de l’internaute susceptibles de porter atteinte à son intimité et à sa vie privée.
En matière d’espiogiciel, il est difficile de généraliser tant ces derniers peuvent prendre des
formes différentes. Toutefois, ils ont tous en commun de pénétrer dans l’ordinateur et de
communiquer diverses informations aux sociétés les ayant implantés dans le système.
L’espiogiciel est donc beaucoup plus nocif que le cookie qui, rappelons le, ne constitue qu’un
« témoin de connexion ». L’espiogiciel, à la différence des troyens, ne détruit pas les données.
Il convient de s’attarder tout d’abord sur les espiogiciels issus de freewares. La pratique des
freewares est courante et ils constituent la majorité des espiogiciels que l’on rencontre. En
effet, afin de se faire rémunérer, ces logiciels gratuits vont commercialiser les données des
internautes ainsi collectées. C’est notamment le cas des logiciels « peer to peer ». Ces
logiciels permettent de s’échanger des données sur le réseau Internet.
A l’instar de Napster, qui inaugura ce type de logiciel, il existe un certain nombre de logiciels
permettant de s’échanger librement des données sur Internet. Contrairement à Napster qui est
devenu payant afin de pouvoir subsister, les logiciels « peer to peer » de « seconde
génération » sont, en général, des programmes de tierce partie. Ce n'est pas le fournisseur du
logiciel gratuit qui le développe mais ce dernier passe généralement un accord commercial
avec l'auteur de l’espiogiciel et se fait rémunérer par l'auteur du logiciel espion en fonction du
nombre d'installations identifiées.
La plupart des freewares utilisant un espiogiciel informe l’internaute, dans les conditions
d’utilisation du logiciel qui apparaît à l’écran juste avant l’installation du logiciel, que
l’utilisation de ce logiciel aura pour conséquence l’insertion d’un espiogiciel sur votre
ordinateur : tel est le cas de Kazaa (freeware peer to peer). Cette information est pernicieuse et
peu explicite quant au rôle joué par l’espiogiciel en question.
56
Benjamin EGRET
ERID 2002
Kazaa n’est pas le seul logiciel à employer de telles méthodes, tous les logiciels « peer to
peer » le pratiquent. Il convient de s’intéresser à l’exemple de Kazaa qui est l’un des logiciels
« peer to peer » les plus utilisés du marché.47
Outre les conditions classiques figurant au contrat, un petit paragraphe concernant
l’installation d’un espiogiciel apparaît en fin de contrat.
========================================
Nous vous prions de nous excuser pour le fait que cette information n'est pas encore disponible dans
votre langue.
========================================
“Cydoor END USER AGREEMENT
The software program you are about to install is an "adware" program, meaning that we have partnered
with Cydoor Technologies to deliver small ads to the main window of the application, in order for KaZaA
to bring targeted advertising. The software will display web content such as banner ads, e-commerce
offers, news headlines and other value-added content. Cydoor Technologies created this technology, and
provides it to software developers to implement in software programs. In turn, software developers
choose to display ads so that you can enjoy their products for FREE, and they can still earn revenue from
advertising.
How does it work?
The Cydoor component of this software is simply a caching mechanism, which stores ads on your hard
drive, and displays them only while the software program is open. When the ads have expired, the
component deletes old ads and contacts Cydoor's servers in order to receive new ones. To do this, the
Cydoor component uses your Internet connection, which was designed to take up the minimum
bandwidth on your line. Each ad banner on your hard disc is about 10Kbytes.
Finally, Cydoor Technologies, wants you to feel comfortable using this software. Be assured that
respecting and maintaining your privacy is KaZaA and Cydoor's top priority ethically and legally. If you
have any questions or concerns, please visit the Cydoor website, www.cydoor.com, where you can
review its privacy statement.”
Du point de vue des contrats généraux, on peut estimer que l’internaute a été informé au
préalable que le logiciel qu’il s’apprêtait à installer contenait un espiogiciel. L’internaute n’est
donc en aucun cas obligé d’accepter la licence d’utilisation.
Toutefois, il est intéressant de noter que le fait de ne pas trouver cette partie du contrat en
langue française est assez troublant. En effet, la totalité du contrat est rédigée en langue
47
4,9 millions de téléchargement uniquement en juillet 2001
57
Benjamin EGRET
ERID 2002
française et seule la partie concernant l’insertion d’un espiogiciel, en l’occurrence Cydoor, est
rédigée en langue anglaise ! Il faut donc en conclure que cette partie du contrat est donc
réservée exclusivement aux internautes comprenant l’anglais.
De plus, le contrat n’indique pas exactement tous les composants qui s’apprêtent à être
installés. En réalité, outre Cydoor (logiciel d'origine israélienne qui permet de commercialiser
l'espace publicitaire sur des logiciels), Kazaa installe également plusieurs autres petits
logiciels tel que Toptext (logiciel insérant des liens hypertexte de ses annonceurs sur des
mots-clés précis dans le texte des sites visités par les internautes), Savenow (logiciel de
gestion de l'espace publicitaire), Webenhancer et Onflow.
Le contrat comporte donc des faiblesses que l’internaute mécontent pourrait soulever. Nous
ne nous attarderons pas davantage sur ce thème, le contrat de ce type de logiciel n’étant pas
l’objet principal du mémoire.
Tous ces espiogiciels vont pouvoir commencer à inspecter votre disque dur et à communiquer
vers l’extérieur (sociétés commerciales) tous les renseignements qu’ils jugeront nécessaires
dès que vous aurez terminé l’installation de Kazaa.
Il est d’ailleurs assez simple de vérifier la présence d’espiogiciels juste après avoir achevé
l’installation. Il existe plusieurs logiciels destinés à traquer les espiogiciels dont Ad Aware
que j’ai déjà mentionné dans la première partie de ce mémoire. En lançant Ad Aware, juste
après l’installation de Kazaa, et en s’étant assuré qu’aucun autre espiogiciel ne figurait sur la
machine avant l’installation de Kazaa, Ad Aware identifiera un certain nombre d’espiogiciels.
Le nombre peut en effet varier en fonction de la version de Kazaa installée. Le rôle d’Ad
Aware n’est pas simplement d’identifier les espions puisqu’il permet également de les
supprimer. Il faut noter que cette suppression éliminera tous les espions identifiés mais rendra
le fonctionnement du logiciel impossible !
Le meilleur moyen, afin d’éviter d’avoir un logiciel espion sur son ordinateur, est donc de
trouver un logiciel de remplacement, encore faut-il que ce dernier ne soit pas non plus infecté
par un espiogiciel ! Concernant Kazaa, il existe une version de ce logiciel sans espion appelé
Kazaa Lite.
58
Benjamin EGRET
ERID 2002
Au même titre que d’autres logiciels « peer to peer », Kazaa permet à ses utilisateurs de
télécharger des fichiers audio (mp3) et vidéo (divx). En téléchargeant ce type de fichiers, les
utilisateurs violent les droits d’auteurs des artistes ayant réalisé ces œuvres. Une équipe de
développeurs visant à protéger les lois du copyright a crée un ver appelé « Benjamin » dont le
rôle est « d’étouffer » les téléchargements des utilisateurs de Kazaa.
Pour infiltrer les ordinateurs équipés de Kazaa, « Benjamin » produit des fichiers son et vidéo
factices de tailles diverses, auxquels il attribue des noms d'oeuvres déposées qui peuvent
susciter l'intérêt des internautes. Il se glisse ensuite dans la liste des fichiers que les
utilisateurs reliés par Kazaa peuvent télécharger, et se propage ainsi vers d'autres machines. A
l'arrivée sur un nouveau système, Benjamin crée un dossier « sys32 » dans le répertoire
« Windows temp » où il crée de nouveaux fichiers factices, qui sont de nouveau proposés au
téléchargement sur Kazaa. On pourrait presque parler d’arroseur arrosé !
Une autre catégorie de logiciel espion est également appelée mouchard. Les espions sont
directement implantés dans les systèmes d’exploitation (Microsoft Windows) ou dans le
matériel informatique (Intel), comme nous l’avons vu dans la première partie du mémoire.
Le but de tout logiciel espion est de récolter le maximum de données personnelles afin de se
constituer une base de données comportementale ou de les céder à des sociétés spécialisées.
Une fois ces informations récoltées, il sera alors possible de les confronter à d’autres bases de
données et d’opérer des recoupements.
La collecte de données personnelles pourra également être renforcée en regroupant plusieurs
bases de données entre elles et en procédant à des recoupements. De plus, cette collecte ne
constitue pas le « monopole » des entreprises et les Etats eux-mêmes sont de plus en plus
tentés de récolter des données sur l’ensemble de leur population.
59
Benjamin EGRET
ERID 2002
§1 : L’interconnexion de fichiers
A) Le profiling
Le profiling est une technique qui consiste à analyser, grâce à divers moyens, le profil des
visiteurs d’un site afin de déterminer leurs motivations, leurs centres d’intérêt, leur tranche
d’âge, leur profession, ainsi que toute autre information utile afin de pouvoir mieux répondre
à leurs attentes lors de leur prochaine visite.
Il convient de s’intéresser à la société DoubleClick qui est une régie américaine de publicité
en ligne et qui illustre bien les méthodes de profiling.
Créée en 1996 à Atlanta, l’activité de la société DoubleClick consiste à offrir aux annonceurs
une prestation globale intégrée en matière de campagnes publicitaires sur Internet. L’agence a
donc passé des accords avec un certain nombre de sites qui lui vendent de l’espace en vue
d’afficher des bannières publicitaires pour le compte d’annonceurs divers.
Cette technique est très intéressante pour les annonceurs puisqu’elle leur assure un ciblage de
clientèle extrêmement précis.
DoubleClick a développé une technologie adossée à une base de données de plusieurs
millions d’utilisateurs. Cela est le résultat d’une collecte à grande échelle et de traitement de
données personnelles permettant d’identifier les utilisateurs, de les qualifier et de déterminer
en temps réel les sous-ensembles de population susceptibles de correspondre aux critères de
ciblage des campagnes publicitaires en cours.
En pratique, les sites partenaires de DoubleClick lui permettent d’afficher des bandeaux
publicitaires. L’internaute qui souhaite ouvrir ou fermer le bandeau publicitaire va cliquer
dessus. Ce simple click permet à DoubleClick d’envoyer un cookie sur le disque dur de
l’internaute.
60
Benjamin EGRET
ERID 2002
Le nombre important de sites sur lesquels DoubleClick dispose de bannières permet
l’établissement de nombreux profils d’utilisateurs qui peuvent être régulièrement mis à jour et
affinés.
Bien qu’il s’agisse de cookies, ces derniers doivent être assimilés à des espiogiciels. Ils
reprennent en effet tous les critères relatifs aux espiogiciels et le cookie envoyé par
DoubleClick ne peut en aucun cas être considéré comme un « témoin de connexion ». Le
logiciel Ad Aware, déjà cité dans ce mémoire, offre d’ailleurs la possibilité de désinstaller le
cookie DoubleClick.
Les informations collectées par DoubleClick sont diverses :
-
l’adresse IP :
-
Le titre et la fonction dans l’entreprise
-
La taille et le chiffre d’affaires de l’entreprise
-
Le numéro d’identification
-
Le référencement des sites visités
DoubleClick n’est pas la seule société à agir de la sorte et d’autres sociétés publicitaires font
de même mais DoubleClick est la société la plus importante en ce domaine.
Il est possible d’empêcher l’insertion des cookies envoyés par DoubleClick en allant sur leur
site Web et en choisissant l’option « opt out ».48 Un cookie spécial va être installé sur le
disque dur qui empêchera tout nouvel envoi de cookies par DoubleClick.49 Le mode de
fonctionnement de DoubleClick est très contestable et va à l’encontre des règles élémentaires
d’éthique envers l’internaute.50 Ce dernier se voit promettre une information préalable à toute
collecte et un choix de décider s’il souhaite ou non faire subir à ses données personnelles un
traitement quelconque.
48
http://www.doubleclick.com/us/corporate/privacy/privacy/ad-cookie/default.asp?asp_object_1=&
Annexe 4
50
Netiquette : règles de comportement non officielles mais reconnues par tous pour adopter une bonne conduite
sur le réseau
49
61
Benjamin EGRET
ERID 2002
La méthode employée par DoubleClick lui ôte ces garanties car le visiteur est trompé par
l’identité de la société qui collecte ses données et son droit d’opposition aura des difficultés à
s’appliquer.
La société DoubleClick a fait l’objet de nombreuses critiques quant à ses méthodes employées
pour récolter des données personnelles. C’est ainsi qu’un groupe américain de défense de
l'intimité numérique a déposé plainte le 10 février 2000 pour « tromperie et pratiques
commerciales déloyales » à l'encontre de l'acteur numéro un de la publicité sur le Web,
DoubleClick.
Une demi-douzaine d'associations dont l'ACLU51 et le CDT52 a, à leur tour, décidé de
réclamer une enquête de la Federal Trade Commission. Ces groupes de pression s'inquiètent
des conséquences du rachat par DoubleClick d'Abacus Direct, un géant des bases de données
de consommateurs. Ils veulent ainsi empêcher le croisement des informations d'Abacus Direct
avec celle déjà collectées par DoubleClick via ses bannières et cookies.
Peu de temps après, Le Wall Street Journal a révélé que le site de Quicken53 renvoyait à
DoubleClick des informations concernant les revenus, les biens et les dettes de ses
utilisateurs. Devant cette levée de boucliers, DoubleClick a du faire machine arrière et a
décidé de « reporter » son projet, très controversé, de croiser les logs54 anonymes des cookies
avec ses fichiers nominatifs.
Après presque un an d'enquête, Doubleclick a été blanchi le 22 janvier 2001 par les autorités
américaines : les pratiques du spécialiste mondial des bannières publicitaires seraient
conformes aux lois de protection de la vie privée. Malgré l’absence de sanctions prononcées
par la Federal Trade Commission, DoubleClick fait toutefois encore l’objet d’une douzaine de
procès pour non respect de la vie privée aux Etats-Unis.
Ce n’est que récemment que la régie américaine de publicité en ligne DoubleClick voit enfin
le dénouement de ses démêlés avec la justice. Mardi 21 mai 2002, le tribunal d'instance de
New York (une cour fédérale) a mis un terme aux procès que lui avaient intentés séparément,
51
American Civil Liberties Union
Center for Democracy and Technology
53
http://www.quicken.com
54
Fichier qui enregistre les opérations des utilisateurs sur un serveur
52
62
Benjamin EGRET
ERID 2002
puis collectivement l'an dernier, les états de Californie, du Texas et de New York pour nonrespect de la vie privée. Il a en effet validé un accord amiable préliminaire proposé fin mars à
Double Click pour régler ces différentes affaires.
De plus, DoubleClick devra fournir à ses clients une charte de protection de la vie privée
décrivant en « termes clairs » son offre de services publicitaires, son utilisation des cookies ou
de tout autre outil et service. L'accord prévoit également que la société élimine de certains
fichiers toutes informations personnelles identifiables, y compris les noms, adresses, numéros
de téléphone et adresses courriel. La société devra également obtenir l'accord des internautes
(« opt in ») avant de lier une quelconque information personnelle identifiable à leur historique
de navigation.
Enfin, la régie devra mener une vaste campagne d'information : il lui faudra afficher pas
moins de 33 millions de bannières sur le Web afin d'informer le public sur ces questions
d'intimité et de confidentialité. La société devra également s'adjoindre les services d'un
cabinet indépendant de comptabilité chargé de contrôler une fois par an qu'elle se conforme
bien à ces directives.
B) Le fichage administratif
Le rêve de tout Etat est de pouvoir classer ses habitants, savoir qui ils sont, comment les
retrouver. Ce fichage est devenu possible avec l’avènement de l’informatique. Il s’appuie
essentiellement sur l’interconnexion de fichiers existants car les services agissent souvent en
collaboration en échangeant leurs informations afin d’établir un profil unique pour chaque
citoyen.
L’administration fiscale française est à la pointe en ce qui concerne le fichage des citoyens
grâce à des systèmes d’interconnexion de fichiers. Avec l’utilisation de certains logiciels, elle
peut faire des rapprochements de fichiers comme par exemple celui des personnes payant une
taxe d’habitation et celui où apparaissent tous les propriétaires.
Un amendement au projet de loi de finances pour 1999 avait fait couler beaucoup d’encre. Le
texte dispose que « la direction générale des impôts, la direction générale de la comptabilité
publique et la direction générale des douanes et des impôts indirects collectent, conservent et
63
Benjamin EGRET
ERID 2002
échangent entre elles les numéros d’inscription au répertoire national d’identification des
personnes physiques ou N.I.R. pour les utiliser exclusivement dans les traitements des
données relatives à l’assiette, au contrôle et au recouvrement de tous impôts, droits, taxes
redevances ou amendes ».
Cette disposition dévoile au grand jour une technique souvent employée par les
administrations : l’échange des données. Il est en effet tentant de pouvoir identifier plus d’une
trentaine de millions de personnes au travers d’un seul numéro.
L’interconnexion de toutes ces données permet de mettre en place des fichiers administratifs
spécialisés dans l’identification des personnes. Le S.T.I.C.55 en est un parfait exemple.
Le S.T.I.C. est un énorme fichier devant recenser toutes les informations concernant les
personnes mises en causes dans des procédures judiciaires, ainsi que celles de leurs victimes.
Le traitement vise les enquêtes ouvertes pour les crimes, délits et les six catégories de 5ème
classe. Outre l’identité, le S.T.I.C. enregistre également le signalement, la photographie, les
faits et les modes opératoires observés pendant la procédure.
Le S.T.I.C. constitue un traitement automatisé légal ayant fait l’objet d’un décret
d’application à l’inverse du fichier F.A.L.T.56 de la gendarmerie nationale.
Les données ainsi collectées permettent d’en collecter d’autres. Les administrations utilisent
tous les moyens pour collecter des informations à l’insu des personnes concernées. Ces
fichiers peuvent alimenter le système informatisé européen SCHENGEN.
Le caractère attentatoire que peuvent représenter ces fichiers pour les libertés fondamentales
et leur caractère transfrontalier nécessitent la mise en place et le respect d’une réglementation.
Concernant le N.I.R.,à la suite d’une saisine parlementaire, le Conseil Constitutionnel s’est
prononcé sur la constitutionnalité d’une telle disposition.57 Il considère que le recoupement
des fichiers fiscaux et sociaux pour identifier les contribuables est conforme à la Constitution
en émettant des réserves : « la portée de l’article 107 devra rester restreinte. Aucun nouveau
55
56
57
Système de traitement de l’Information Criminelle
Fichier Automatisé de Lutte contre le Terrorisme
Décision du Conseil Constitutionnel N° 98-405 DC Loi de finances pour 1999
64
Benjamin EGRET
ERID 2002
transfert de données nominatives ne devra être effectué en administrations » ; « le but
poursuivi par l’administration devra se limiter à éviter des erreurs d’identité ».
Cette validation par le Conseil Constitutionnel, alors que la C.N.I.L. n’avait pas été saisie et
contrairement à l’article 15 de la loi Informatique, fichiers et libertés de 1978 montre bien que
la sécurité de l’Etat peut prévaloir sur les libertés des citoyens.
Les pratiques de fichage concernent la majorité des pays et les Etats-Unis font sûrement
figure de pionnier en la matière.
Fin 2001, le FBI a ainsi décidé d’utiliser un programme de type « key logger », un cheval de
Troie, qui enregistre tout ce que l'utilisateur a saisi sur son clavier, afin de récupérer ses
données et mots de passe. Baptisé « Magic Lantern », il serait installé à distance sur
l'ordinateur de personnes suspectes. Le FBI opte pour le cheval de Troie, parce qu'il permet
d'obtenir plus rapidement des informations qu'avec les techniques de décodage traditionnelles.
Le FBI n’en est pas à son coup d’essai en la matière puisqu’il avait déjà instauré Carnivore,
système de surveillance très controversé. Carnivore, également connu sous la désignation
DCS1000, est une technologie que le FBI installe chez les fournisseurs d'accès Internet pour
surveiller les messageries de personnes suspectées, et récupérer les informations qu'elles
envoient et reçoivent par ce biais.
Ce système de « sniffer » peut connaître à la fois le contenu des messages ou seulement leur
profil (adresses des correspondants, heures de connexion, etc.), qui n'ont pas la même
protection constitutionnelle. Plusieurs associations mais aussi de nombreux membres du
Congrès sont inquiets et veulent s'assurer que les mandats d'écoute délivrés ne peuvent pas
être détournés (écouter le contenu des conversations alors que le mandat ne couvre que la
surveillance des logs).
Carnivore fait l’objet d’une grosse controverse aux Etats Unis. Dans un procès opposant
l’association Electronic Privacy Information Center (EPIC) au FBI depuis juillet 2000 à
propos de l’utilisation de Carnivore par la police, l’EPIC a obtenu du juge fédéral chargé du
dossier que le gouvernement fasse preuve de plus de transparence.
Le juge a ainsi ordonné lundi 25 mars 2002 au FBI de fournir dans un délai de 60 jours plus
de documents sur le système Carnivore qu'il ne l'a déjà fait. Un autre dispositif technique de
65
Benjamin EGRET
ERID 2002
surveillance a lui aussi attiré la curiosité du juge: EtherPeek, qui gère le trafic transitant sur
des réseaux.
L’EPIC s’est basée sur la loi de la liberté de l'information (Freedom of Information Act) pour
demander à examiner des documents concernant Carnivore. Elle estime que Carnivore
représente autre chose que ce que clame le FBI à savoir « un moyen de récupérer des
informations sur les individus lorsqu'ils sont en ligne, des courriels et d'autres informations en
ligne uniquement sur demande de la justice. »
Toutefois, le climat actuel qui règne aux Etats-Unis, après les évènements tragiques du
11/09/2001, est propice aux systèmes de surveillance.
C’est ainsi qu’une majorité d'Américains, de plus en plus inquiets face au développement de
la criminalité sur Internet, sont prêts à accepter que le FBI ouvre des courriers électroniques
suspects. Selon une enquête publiée le 02/04/200158, 54% des Américains approuveraient la
surveillance de courriers électroniques suspects par le FBI, tandis que 34% s'y déclarent
opposés. La Fédération internationale des droits de l'homme (FIDH), Human Rights Watch
(HRW) et Reporters sans frontières (RSF) ont publié récemment sur leur site commun
Libertés immuables59 un premier bilan, 120 jours environ après les attaques terroristes: « le
top 15 des pays au sein desquels les dérives sécuritaires et les entorses ont été les plus
nombreuses et les plus graves. » La France arrive en 4ème position de ce hit parade.
Les Etats-Unis arrivent en première position et c’est dans ce climat qu’un projet de loi visant
à protéger les règles du copyright, inspiré par les producteurs de cinéma et de musique, est sur
le point de voir le jour.
En effet, le Congrès américain va bientôt recevoir pour étude une proposition de loi visant à
permettre aux détenteurs d'oeuvres protégées de désactiver à distance les ordinateurs utilisés
par les internautes pour échanger sur Internet des fichiers protégés. Une sorte de piratage
légal, ou plutôt de téléperquisition, en quelque sorte...
Ce projet de loi est la nouvelle arme des studios d'Hollywood et des majors du disque pour
anéantir les réseaux « peer to peer » qui, à leurs yeux, portent un coup fatal à leurs chiffres
d'affaires. Si cette loi était adoptée, les majors pourraient se livrer à des intrusions
58
59
AFP, 02/04/2001
http://www.enduring-freedoms.org/article.php3?id_article=213
66
Benjamin EGRET
ERID 2002
informatiques furtives sur des ordinateurs de particuliers comme d'entreprises, sans aucun
garde-fou dès lors qu'ils estiment « de façon sensée » que des machines sont utilisées pour des
échanges illicites de fichiers numérisés d'oeuvres soumis au copyright.
Le texte ne précise pas les méthodes qui pourraient être utilisées : virus, vers, attaques par
saturation avec déni de service, piratage de noms de domaine, etc…
Le texte précise en revanche qu’aucun fichier ne pourra être détruit et si une telle mésaventure
arrivait, il serait possible aux victimes d’entamer un procès mais les dégâts causés devront
être supérieurs à 250 dollars.
Le projet de loi a déjà ses opposants. L’Electronic Frontier Foundation (EEF) le condamne,
constatant une nouvelle fois que les droits dont bénéficient les citoyens dans l'espace
« analogique » sont en train d'être confisqués à l'ère du numérique.
Cette proposition de loi ne devrait pas être étudiée avant l’automne, la fin de session
parlementaire approchant.
L’Europe n’est pas en reste puisque les parlementaires européens ont adopté le 30 mai 2002 le
principe de « la rétention des données » privées. Cela ouvre la voie à la surveillance générale
et exploratoire des communications électroniques.
La rétention des données permet en principe de collecter, d'enregistrer et de stocker toutes les
traces de connexion que laisse un usager sur les réseaux de télécommunications (téléphone
fixe ou mobile, moyens d'expression vocaux ou textuels, échanges de fichiers audio, textes ou
vidéo, etc…) et permet ainsi de suivre les déplacements physiques d’une seule et même
personne.
Cette surveillance s'effectue de manière « préventive » avant la moindre constatation
d'infraction, sans qu'un juge d'instruction puisse en contrôler la finalité.
67
Benjamin EGRET
ERID 2002
§2 : la cybersurveillance du salarié
Un employeur peut être tenté de surveiller son salarié afin de savoir si ce dernier travaille
efficacement. Il existe de nombreux outils capables de jouer le rôle d’un espion. L’employeur
doit respecter certaines règles dès lors qu’il met en place un système de surveillance. Il ne
convient pas de faire une étude approfondie sur les problèmes posés par la cybersurveillance
du salarié tant cette question est longue et complexe mais uniquement de dégager les
principaux axes en relation avec le présent mémoire.
A) Les obligations d’information de l’employeur
Le droit à l’information est un principe récurrent dans le droit des personnes car elle permet
d’éveiller l’attention de ceux qui sont concernés et par là même de favoriser leur protection.
Ainsi, selon l’article L 121-8 du Code du Travail : « Aucune information concernant
personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif
qui n’a pas été porté à la connaissance du salarié ou du candidat à un emploi. »
Sans cette information préalable, l’employeur ne pourrait se prévaloir d’un enregistrement
présenté en vue de prouver ce qu’il reproche au salarié60 ou au candidat à un emploi.
Ainsi un arrêt de la chambre sociale de la Cour de Cassation en date du 14 mars 2000 en
relevant que « seul l’emploi de procédé clandestin de surveillance est illicite » a permis le
licenciement d’un salarié dont la faute avait été constatée par un système d’écoute
téléphonique installé dans le but de justifier, en cas de litige avec les clients, les ordres de
bourse reçus par téléphone.
60
C.Cass Ch. Soc 22 mai 1995
68
Benjamin EGRET
ERID 2002
B) Le respect de la vie privée du salarié
La surveillance qui n’est donc pas par principe interdite doit néanmoins se combiner avec le
respect de la vie privée de l’employé.
Ce principe ressort de l’article 9 du code civil : « Chacun a droit au respect de sa vie
privée. Les juges peuvent sans préjudice de la réparation du dommage subi, prescrire toutes
mesures … propres à empêcher ou faire cesser une atteinte à la vie privée. » L’article L 120-2
du code du travail vient renforcer « proportionnellement » ce droit.
C) L’exigence de proportionnalité
Le procédé de surveillance doit être proportionné avec le but recherché. Si on peut traduire
par finalité, la notion de « but recherché » par le système de surveillance, on peut alors ici
faire un rapprochement avec le principe de finalité qui pèse sur tout traitement de données.
Il est important de préciser que le respect de cette exigence doit être apprécié au regard du
poste occupé par le salarié.
A titre d’exemple on pourrait penser qu’un système d’écoutes téléphoniques ne serait pas
proportionné s’il était établi en vue de recenser la productivité de l’employé. En revanche
peuvent être considérés comme proportionnels au but recherché les systèmes de vidéo
surveillance installés en vue de prévenir le vol dans les banques ainsi que dans les grandes
surfaces.
D) La surveillance de l’ordinateur du salarié
La majorité des entreprises utilisant l’outil informatique sont aujourd’hui connectées en
réseau. Plusieurs raisons viennent justifier cette technique : cela permet de partager le matériel
(imprimante) et la connexion à Internet ou à l’Intranet mis en place par l’entreprise, c’est
également un moyen de faciliter les communications des employés qui peuvent ainsi
s’échanger des documents sans avoir à se déplacer, la maintenance des postes de travail peut
être effectuée à distance par les informaticiens de l’entreprise.
La technique de connexion en réseau permet également l’emploi de logiciels de contrôle.
Ceux-ci permettent un suivi en temps réel de l’activité sur chaque poste informatique
69
Benjamin EGRET
ERID 2002
connecté. Ce procédé est justifié par le souci des employeurs de protéger l’ensemble de leur
système informatique des attaques extérieures car il convient d’assurer la protection des
documents confidentiels et des secrets de fabrication vis-à-vis de l’extérieur qui sont stockés
dans les machines.
En pratique ces systèmes sont aussi utilisés pour surveiller l’activité des salariés car il faut
reconnaître, qu’avec le développement de l’Internet, la tentation de se distraire est
grandissante dans les sociétés qui disposent d’un accès permanent au Web. Ainsi les logiciels
de contrôle peuvent valablement être utilisés pour surveiller l’activité des employés en dehors
de toute préoccupation sécuritaire.
Un arrêt de la chambre sociale de la Cour de cassation en date du 18 juillet 2000 semble
apporter une exception à l’exigence d’information des personnes concernées par un système
de logiciel de contrôle.
Dans cet arrêt, la Cour de cassation valide le licenciement d’un salarié dont la faute avait été
constatée grâce à un système de traçage informatique jusqu’alors ignoré du personnel et du
Comité d’entreprise.
Pour arriver à sa solution la Cour de cassation estime qu’un « mode de traçage permettant
d’identifier » des comptes bancaires ne peut être assimilé à un système de surveillance. Ainsi
la chambre sociale de la Cour relève que : « la mise en place d’un système d’exploitation
intégrant un mode de traçage permettant d’identifier les consultants de comptes bancaires ne
peut être assimilée à un système de surveillance ; le travail effectué par l’utilisation de
l’informatique ne pouvant avoir pour effet de conférer l’anonymat aux tâches des salariés. En
conséquence, l’employeur n’avait pas l’obligation d’informer ni les salariés ni le comité
d’entreprise et il pouvait se servir des éléments obtenus par ce procédé pour justifier le
licenciement. »
Cette solution remet donc en cause le devoir d’information qui pèse sur l’employeur auprès
des salariés et du Comité d’entreprise.
70
Benjamin EGRET
ERID 2002
Après avoir analysé les différentes pratiques auxquelles sont livrées les données personnelles,
il convient maintenant d’étudier les règles applicables en matière de collecte de données
personnelles.
71
Benjamin EGRET
ERID 2002
Chapitre 2 : Les règles applicables concernant la collecte de données
personnelles
La loi informatique, fichiers et libertés du 06/01/1978 constitue la législation principale en
matière de protection des données personnelles. L’Union Européenne a adopté, le 24/10/1995,
la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation
de ces données.
Cette directive vise à réduire les divergences entre les législations nationales sur la protection
des données afin de lever tout obstacle à la libre circulation des données à caractère personnel
à l'intérieur de l'Union européenne. Cette directive, qui devait être ratifiée au plus tard le
25/10/1998, n’a, à l’heure actuelle, pas encore fait l’objet d’une transposition dans notre droit
national. Un projet de loi a toutefois été adopté en première lecture par l’assemblée nationale
le 30 janvier 2002.61
La directive de 1995 amène plusieurs apports quant à la loi de 1978 : il est tout d’abord
proposé de donner directement à la C.N.I.L. le pouvoir d'accepter ou de refuser les demandes
dans la plupart des cas en lieu et place de la procédure d’avis, dans les domaines où la
création d'un traitement continuera à relever d'un régime d'autorisation.
De plus, le projet entend simplifier les formalités administratives imposées aux citoyens et
aux entreprises lors de la mise en oeuvre des traitements usuels qui ne sont pas susceptibles de
porter atteinte aux droits et libertés des personnes concernées.
Enfin, le projet opte en faveur d'un renforcement substantiel des pouvoirs de contrôle a
posteriori dont dispose la C.N.I.L., afin de maintenir un niveau de garantie des droits
individuels équivalent à celui résultant de la loi actuelle.
Il convient donc d’envisager les droits de la personne concernée par la collecte, d’une part et
les obligations du responsable du traitement d’autre part.
61
Annexe 5
72
Benjamin EGRET
ERID 2002
La personne concernée par la collecte de ses données personnelles dispose de plusieurs
prérogatives : elle peut s’informer et accéder à des données, les contester et les rectifier,
s’opposer au traitement ou encore connaître la logique qui sous-tend le traitement
§1 : Les droits de s’informer et d’accéder aux données personnelles
A) Le droit de s’informer
Il s’agit du droit d’obtenir des renseignements sur la nature du traitement. Il s’agit d’un droit
ouvert et toute personne a le droit de poser la question suivante : Traitez vous des données
personnelles me concernant ?
C’est ainsi que les articles 34 et 45, alinéa 3, de la loi de 1978 ont prévu que toute personne
justifiant de son identité a le droit d’interroger les services ou organismes chargés de mettre
en œuvre les traitements automatisés déclarés à la C.N.I.L. ou les responsables des fichiers
manuels afin de déterminer s’ils détiennent ou traitent des informations de nature personnelle
la concernant.
L’article 12 a de la directive de 1995 étend le champ de la curiosité de l’article 34 de la loi de
1978 puisqu’il dispose: « Les États membres garantissent à toute personne concernée le droit
d'obtenir du responsable du traitement sans contrainte, à des intervalles raisonnables et sans
délais ou frais excessifs, la confirmation que des données la concernant sont ou ne sont pas
traitées, ainsi que des informations portant au moins sur les finalités du traitement, les
catégories de données sur lesquelles il porte et les destinataires ou les catégories de
destinataires auxquels les données sont communiquées ».
73
Benjamin EGRET
ERID 2002
B) Le droit d’accès direct et de copie
La personne concernée par les données traitées peut également demander à y accéder et en
obtenir copie sur support.
L’accès peut s’accomplir de différentes manières : la personne concernée peut tout d’abord
exercer son droit en consultant sa fiche mais elle peut également obtenir la copie des
enregistrements des données. Si elle opte pour la seconde solution, la personne devra verser
une somme forfaitaire représentative du prix de l’envoi des données. La somme sera de 3 €
pour le secteur public et 4.5 € pour le secteur privé.
La directive de 1995, quant à elle, reconnaît, dans son article 12 b 2), « la communication,
sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute
information disponible sur l'origine des données ».
Cette communication des données doit se faire en langage clair et être conforme au contenu
des enregistrements. Dans le cas contraire, la loi de 1978 prévoit une contravention de 5ème
classe. En cas de refus de répondre aux demandes de renseignements ou de communiquer les
données personnelles, le demandeur peut saisir la C.N.I.L.
Il n’y a pas de durée préfixée pour les réponses mais on parle de délais raisonnables. La
personne physique se trouvant devant une obstruction pourra saisir le juge pénal ou la
C.N.I.L.
74
Benjamin EGRET
ERID 2002
C) Les droits d’accès indirects
L’accès à certaines données traitées peut soulever des problèmes en raison de leur caractère
sensible.
1- Données intéressant la sûreté de l’Etat, la défense et la sécurité
publique
L’article 39 de la loi de 1978 prévoit un faux droit d’accès. En réalité, une personne pourra
s’intéresser aux données la concernant mais elle ne pourra pas y accéder. Elle devra adresser
sa demande auprès de la C.N.I.L. qui désignera un de ses membres qui mènera toutes
investigations utiles et fera procéder aux modifications nécessaires sans que le requérant y
accède.
Le droit d’accès concernant ce type de traitements est en légère augmentation : il y a eu 817
demandes pour l’année 2000 ce qui constitue 22% d’augmentation par rapport à l’année 1999.
Ces demandes résultant le plus souvent de refus d’embauche de la part des administrations,
d’enquêtes d’habilitation défavorable, de refus de délivrance d’un visa …
Le projet de loi tente une innovation puisque son article 41 énonce : « Lorsque la C.N.I.L.
constate, en accord avec le responsable du traitement, que la communication des données à
caractère personnel enregistrées ou du résultat des opérations effectuées en application du
premier alinéa de l’article 40 ne met pas en cause les finalités poursuivies par ces traitements,
ces données ou ces résultats sont communiqués au requérant ».
Les données détenues par les Renseignements Généraux constituent un cas particulier. A
l’origine, le traitement de ces fichiers était régi par l’article 39 de la loi de 1978. La C.N.I.L. a
souhaité faire entrer ces fichiers dans la légalité et deux décrets sont pris la 14/10/199162. Le
premier crée les types de fichiers et les finalités et le second organise la collecte
d’informations dites sensibles. Un droit d’accès particulier est mis en œuvre et la C.N.I.L., en
accord avec le ministre de l’Intérieur, peut constater que si des informations demandées ne
mettent pas en cause la sécurité de l’Etat, il y a lieu de les communiquer à l’intéressé.
62
Décret n° 1051 et 1052 du 14/10/1991
75
Benjamin EGRET
ERID 2002
Pour l’année 2000, sur 365 investigations, 241 requérants n’étaient pas fichés, 104 l’étaient
dont 18 non communicables.
2- Données médicales
Jusqu’à la loi du 04/03/2002, l’accès aux données médicales relevait de l’article 40 de la loi
de 1978. Cet article prévoyait un accès indirect des données. La nouvelle loi prévoit un accès
direct des données mais elle laisse également l’ancien système en vigueur et un médecin
pourra donc accéder aux données en lieu et place de la personne concernée.
§2 : Le droit de contestation ou de rectification
Selon l’article 36 de la loi de 1978, on peut demander la clarification de l’information, la mise
à jour, la rectification ou l’effacement de l’information.
La directive de 1995 ajoute la possibilité de verrouiller l’information. Ce droit de rectification
est un droit ouvert et on peut l’exercer à tout moment. Il fonctionne aussi bien pour les
personnes privées que publiques.
Deux cas de figure sont envisageables : Si le gestionnaire des données accepte la contestation,
il n’y a pas de problème majeur. En revanche, dans le cas où le gestionnaire des données
refuse la contestation, quand il y a désaccord entre le demandeur et le gestionnaire, il y a un
renversement de la charge de la preuve qui pèse dorénavant sur le gestionnaire des données.
Si le gestionnaire n’est pas en mesure d’apporter la preuve, il devra répondre à la demande.
Le demandeur pourra avoir accès à la modification du fichier afin de vérifier que le fichier ait
bien été modifié. Il est à noter que l’opposition à l’exercice de rectification est sanctionnée
d’une amende de 5ème classe.
76
Benjamin EGRET
ERID 2002
§3 : Le droit d’opposition
L’article 26 de la loi de 1978 dispose « toute personne physique a le droit de s’opposer, pour
des raisons légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un
traitement ».
Le projet de loi va dans le même sens que cet article sans opérer de distinction particulière.
La directive de 1995 précise que la personne physique a le droit de s’opposer à tout moment.
Sur un plan pratique, le droit d’opposition apporte un intérêt particulier lors de la collecte des
données. Dans un arrêt du 30/07/1997, le Conseil d’Etat avait « couvert » la C.N.I.L. dans le
lien qu’elle avait fait entre la case à cocher et la collecte de données. En assimilant ainsi la
case à cocher avec une collecte de données personnelles, le droit d’opposition pourra donc
s’exercer à tout moment même si la case n’a pas été cochée.
Concernant les raisons légitimes à invoquer afin de s’opposer au traitement, contrairement à
ce que préconisent la directive et le projet de loi, la C.N.I.L. a tendance à dire qu’il n’y a plus
de raison légitime à donner, en particulier concernant Internet. La C.N.I.L. considère que
toutes les données contenues sur Internet échappent à la personne.
77
Benjamin EGRET
ERID 2002
Deux types de traitements sont concernés : le traitement papier et le traitement automatisé. Le
simple fait de créer un traitement engage la responsabilité du responsable du traitement.
Avant de dégager les différentes obligations incombant au responsable du traitement, il
convient de s’interroger sur la notion même de responsable du traitement.
On entend par responsable du traitement non seulement le responsable lui même mais
également le sous-traitant. Le sous-traitant est la personne physique ou morale qui traite des
données personnelles pour le compte du responsable du traitement. La directive précise que
des clauses doivent figurer, dans les contrats passés avec des sous-traitants, permettant
d’imputer la responsabilité soit sur le sous-traitant soit sur le responsable du traitement.
§1 : Les obligations relatives à la qualité des données
L’article 6 de la directive de 1995 énonce les principes relatifs à la qualité des données. Ce
sont des principes qui manquent de caractère impératif et normatif. Le fait de ne pas respecter
ces principes engage la responsabilité de droit commun. Dans certains cas, ils peuvent
déboucher sur de la responsabilité pénale. Ces principes correspondent à la doctrine de la
C.N.I.L. et sont au nombre de cinq.
•
Les données doivent être traitées loyalement et licitement
Tout concours déloyal pourra engager la responsabilité du responsable du traitement. Ainsi,
au niveau de la collecte de données personnelles dans le cadre d’un concours, il y aura
comportement quand le concours ne s’avère être qu’un prétexte.
Il y aura également un comportement déloyal lorsqu’on fait paraître de fausses offres
d’emploi.
78
Benjamin EGRET
•
ERID 2002
Les données ne doivent être collectées pour des finalités déterminées, explicites et
légitimes
•
Les données doivent être adéquates, pertinentes et non excessives au regard des
finalités
•
Les informations ainsi collectées doivent être exactes et si nécessaire mises à jour
•
Les données doivent être conservées pour une certaine durée
Les données ne doivent être conservées que pendant le temps utile nécessaire à la finalité du
traitement pour laquelle elles ont été collectées. Un des dangers que présente l’informatique
est de pouvoir conserver ces données et de les rendre publiques sans limite de temps.
La C.N.I.L., dans une délibération en date du 29/11/2001, s’est intéressée aux problèmes
posés par la diffusion des données personnelles sur Internet par les banques de données de
jurisprudence. En effet, dans les décisions de justice publiées sur Internet, le nom des parties
apparaît. Le problème est posé lorsque la personne figurant dans une décision de justice en
ligne a été amnistiée car son nom continuera d’apparaître dans les arrêts. La C.N.I.L.
recommande donc de ne plus faire apparaître le nom des parties sur Internet.
§2 : Le principe du consentement
Ce principe n’est pas contenu dans la loi de 1978 mais il fait partie de la directive de 1995.
C’est l’article 7 de la directive qui énonce le principe selon lequel la personne concernée doit
avoir donnée son consentement préalable à la collecte des données. La directive prévoit tout
de même cinq exceptions à ce principe.
Il s’agit des traitements nécessaires à l’exécution d’un contrat ou de mesures précontractuelles
prises à l’initiative de cette personne, de traitement nécessaire pour une obligation légale, pour
l’intérêt vital de la personne, pour une mission d’intérêt public ou encore quand le traitement
a été réalisé dans l’intérêt légitime de la personne.
79
Benjamin EGRET
ERID 2002
En matière de spamming par exemple, le droit commun va imposer le principe du
consentement (« opt in »).
§3 : L’obligation d’informer préalablement la personne concernée
Ce principe est énoncé aux articles 10 et 11 de la directive de 1995. Ainsi, lors de la collecte
de données, le responsable du traitement doit délivrer à la personne concernée certaines
informations.
L’article 10 de la directive concerne les données directement auprès de la personne concernée.
Dans ce cas de figure, le responsable du traitement doit fournir certaines informations à la
personne concernée sauf si elle est déjà informée. Les informations seront l’identité du
responsable du traitement, les finalités du traitement auxquelles les données sont destinées,
tout information supplémentaire telle que les destinataires ou les catégories de destinataires
des données.
Pour les informations recueillies par voie de questionnaire, la loi de 1978 précise qu’elles
doivent porter mention de leur prescription.
L’article 11 de la directive concerne les collectes indirectes. Ce sera le cas lorsqu’une société
a vendu à une autre société ses fichiers. La responsabilité semble peser sur le responsable du
traitement qui cède ses données à un tiers. Il appartient donc au cédant d’informer les
personnes concernées de ce changement en leur dévoilant le nom de la nouvelle personne en
charge de ses données.
§4 : Le problème de la gestion des données sensibles
Pour certaines informations, qui peuvent s’avérer dangereuses, le principe est l’interdiction de
leur collecte. Il y a des exceptions.
Des informations seront dites sensibles lorsqu’elles révèlent l’origine raciale, ethnique,
l’opinion politique, les convictions religieuses ou philosophiques, l’appartenance syndicale…
80
Benjamin EGRET
ERID 2002
A ainsi été condamné un maire qui avait procédé à un mailing pour une élection municipale à
partir de listes à partir desquelles apparaissaient les courants politiques et religieux des
personnes concernées.63
Le manquement à ce principe peut entraîner des sanctions pénales conformément à l’article 31
de la loi de 1978.
Les exceptions concernent les cas où la personne a donné son consentement explicite, lorsque
le traitement est nécessaire pour respecter des obligations en matière de droit du travail, pour
des raisons d’intérêt vital de la personne (santé), si les données ont été divulguées par la
personne et lorsque les données sont données pour dispenser des soins médicaux.
Le projet de loi français précise, dans son article 67, que les traitements automatisés de
données personnelles à des fins journalistiques n’ont pas à être déclarées.
§5 : L’obligation de sécurité
Le responsable du traitement de données personnelles est responsable de la sécurité du
traitement et des données. L’obligation de sécurité est une obligation de moyen évolutive.
Cette obligation concerne l’ordinateur, les logiciels, les locaux, le réseau, l’organisation, le
problème du personnel…
Les manquements peuvent être divers : destruction accidentelle ou illicite, perte accidentelle,
altération, diffusion ou accès non autorisé sur Internet…
Le responsable du traitement sera responsable lorsque les manquements à la sécurité des
données incombent au responsable du traitement lui même mais également lorsque ces
manquements sont le fait de personnes extérieures (pirates).
L’obligation de sécurité est une infraction pénale, conformément à l’article 226-17 du Code
pénal.
63
TGI, Toulouse, 13/09/2001
81
Benjamin EGRET
ERID 2002
§6 : La déclaration de traitement automatisé
Tout traitement doit être déclaré auprès de la C.N.I.L. avant leur mise en œuvre. L’absence de
déclaration entraîne des sanctions pénales, conformément à l’article 226-16 du Code pénal.
Cet article prévoit que l’infraction peut être constituée y compris par simple négligence. Toute
personne peut s’adresser à la C.N.I.L. afin de savoir si une déclaration a été effectuée.
Il existe plusieurs procédures : une procédure concernant le secteur public qui est assez
lourde, une concernant le secteur privé et une procédure intermédiaire.
La directive de 1995 repose sur une idée simple : la plupart des traitements donnent lieu à
notification auprès de l’autorité de contrôle. Certains traitements peuvent être dispensés ou
bénéficier d’une procédure simplifiée.
Par ailleurs, la directive laisse aux Etats membres le soin de concevoir leur système national à
l’intérieur de ce cadre laissant ainsi une grande latitude aux Etats.
82
Benjamin EGRET
ERID 2002
CONCLUSION
Les logiciels indiscrets sont donc assez variés et ils doivent être abordés de manière différente
selon qu’ils constituent une atteinte aux biens ou une atteinte aux personnes.
Le problème des logiciels espions n’est pas nouveau et il existait déjà avant le développement
d’Internet. Internet a en fait agit comme une sorte de déclencheur en amplifiant le phénomène
et
en augmentant considérablement le nombre de victimes potentielles de ces logiciels
indiscrets.
Le problème majeur lié aux logiciels indiscrets vient du fait que ces derniers sont, la plupart
du temps, invisibles ce qui rend les moyens de recours difficiles à mettre en oeuvre. Il sera en
effet difficile pour les internautes néophytes ou débutants en informatique de se défendre
contre l’ensemble des atteintes perpétuées par les logiciels indiscrets. En revanche, les
moyens de recours seront plus faciles à mettre en œuvre pour les internautes dotés d’une
bonne connaissance générale en informatique.
Devant un espionnage qui prend de plus en plus d’ampleur sur Internet au mépris des droits et
libertés individuelles, beaucoup de personnes qualifiées en informatique y compris les
informaticiens, au courant de ces pratiques, ont pris conscience du manque d’information des
internautes. Certains d’entre eux vont avoir l’impression d’être investis d’un devoir de conseil
envers l’ensemble des internautes et vont délivrer leur message de vigilance, notamment à
travers des sites Web.
Même si elle n’a pas été spécialement créée en vue de lutter contre les dérives d’Internet, la
loi de 1978 est un réel succès. Elle le doit très certainement à la création de la C.N.I.L.,
autorité administrative indépendante, chargée de veiller à la bonne application de la loi afin de
protéger la vie privée et les libertés individuelles ou publiques.
La C.N.I.L. est encore aujourd’hui au cœur de l’actualité avec sa boîte aux lettres « boîte à
spam » destinée à appréhender en France le phénomène du « spamming ».
83
Benjamin EGRET
ERID 2002
Le nouveau projet de loi, issu de la directive de 1995, donnera davantage de pouvoirs à la
C.N.I.L. sans toutefois bouleverser son mécanisme.
84
Benjamin EGRET
ERID 2002
SOMMAIRE DETAILLE
INTRODUCTION
p5
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
p 11
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un
p 12
système informatique
§1 : Les cookies
p 13
p 13
A) Principe
p 13
B) Intérêt
p 14
C) Fonctionnement
p 15
D) La gestion des cookies par l’internaute
p 16
E) Les différentes composantes du cookie
p 17
§2 : Le spamming
p 18
§3 : Les espiogiciels
p 18
A) Technique
p 18
p 21
§4 : Les mouchards
p 22
A) Technique
p 22
p 24
p 26
§1 : Technique
p 27
§2 Contre techniques
p 30
85
Benjamin EGRET
Chapitre 2 : Le droit applicable et les différentes sanctions
Section 1 : La loi Godfrain
§1 : L’accès et le maintien dans un STAD
A) L’accès frauduleux dans le système
1- La pénétration matérielle dans tout ou partie du
ERID 2002
p 33
p 33
p 34
p 34
p 34
système
2- L’absence d’autorisation légale, administrative ou
p 35
contractuelle pour accéder aux données
B) Le maintien non autorisé dans le système
p 35
C) Le cas du cookie et de l’espiogiciel
p 36
1- Elément matériel de l’infraction
p 37
2- Elément moral de l’infraction
p 37
§2 : Les atteintes ayant pour finalité de toucher le système
A) Atteinte directe
p 39
p 39
1- Le spamming
p 39
2- Les chevaux de Troie
p 41
B) Atteinte indirecte
§3 : Carences
p 41
p 42
p 43
§1 : Le droit international
p 43
A) Les infractions répertoriées
p 44
B) De nouvelles procédures
p 44
C) Les règles de la coopération internationale
p 45
§2 : Le droit civil
p 45
86
Benjamin EGRET
ERID 2002
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
p 47
p 48
p 48
§1 : L’utilité du cookie lors du processus d’identification
p 48
A) les avantages du cookie
p 48
B) Un identifiant toléré mais encadré
p 50
§2 : Les espiogiciels : un nouvel outil de collecte de l’information
§1 : L’interconnexion de fichiers
p 56
p 60
p 60
A) Le profiling
p 60
B) Le fichage administratif
p 63
§2 : La cybersurveillance du salarié
p 68
A) Les obligations d’information de l’employeur
p 68
B) Le respect de la vie privée du salarié
p 69
C) L’exigence de proportionnalité
p 69
D) La surveillance de l’ordinateur du salarié
p 69
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
§1 : Les droits de s’informer et d’accéder aux données personnelles
p 72
p 73
p 73
A) Le droit de s’informer
p 73
B) Le droit d’accès direct et de copie
p 74
C) Les droits d’accès indirects
p 75
1- Données intéressant la sûreté de l’Etat, la défense
p 75
et la sécurité publique
2- Données médicales
p 76
87
Benjamin EGRET
ERID 2002
§2 : Le droit de contestation ou de rectification
p 76
§3 : Le droit d’opposition
p 77
p 78
§1 : Les obligations relatives à la qualité des données
p 78
§ 2 : Le principe du consentement
p 79
§3 : L’obligation d’informer préalablement la personne concernée
p 80
§4 : Le problème de la gestion des données sensibles
p 80
§ 5 : L’obligation de sécurité
p 81
§6 : La déclaration de traitement automatisé
p 82
CONCLUSION
p 83
88
Benjamin EGRET
ERID 2002
BIBLIOGRAPHIE
OUVRAGES
- Lamy, droit de l’informatique et des réseaux édition 2001 : Michel
Vivant, Christian Le Stanc
- Droit de l’informatique et de l’Internet, édition 2001 : André Lucas, Jean
Devèze, Jean Frayssinet
ARTICLES
- Le projet de loi relatif à la protection des personnes physiques à l’égard
des traitements de données à caractère personnel : constantes et
nouveautés : Jean Frayssinet
- Projet de loi de modification de la loi « informatique et Libertés »… ou
comment s’en débarrasser : Expertises, octobre 2001 page 337
- La négligence dans la protection d’un système de traitement automatisé
d’informations : Philippe Jougleux, Expertises, juillet 2001 page 220
- Du « Hacking » considéré comme un des beaux arts et de l’opportun
renforcement de sa répression : Christian Le Stanc, Communication
Commerce Electronique, avril 2002 page 9
- La vie privée à l’épreuve de l’Internet : quelques aspects nouveaux :
Michel Dupuis, RJPF, 12/10/2001
89
Benjamin EGRET
ERID 2002
LIENS HYPERTEXTES
- http://www.cnil.fr
- http://websec.arcady.fr
- http://www.wilders.org
- http://www.coe.fr/cm/ta/rec/1999/f99r5.htm
- http://lambda.eu.org/503psn.html
- http://news.zdnet.fr/story/0,,t118-s2101426,00.html
- http://lesrapports.ladocfrancaise.gouv.fr/BRP/984000836/0000.htm
- http://www-curri.u-strasbg.fr/aide/av/firewall.htm
- http://www.droit-ntic.com/MyNews1.2/read_comment.php3?id_news=60
- http://www.club-internet.fr/cyberlexnet/COM/A970423.htm
- http://www.linternaute.com/surfer/cookie/cookiesomm.shtml
- http://www.anonymat.org/actualite.htm
- http://www.suttondesigns.com/EnigmaBrowser/Spyware.html
- http://securinet.free.fr/emails-spamming.html
- http://www.01net.com/rdn?oid=153568&thm=NOUVELHEBDO_VIED
UNET_ACTUS_REGLEMENTATION
- http://www.legifrance.gouv.fr/
- http://www.defense.gouv.fr/actualites/dossier/d38/index.html
- http://www.lex-electronica.org/
- http://www.ufr-info-p6.jussieu.fr/~creis/serveur/nir.htm
- http://www.cdt.org/
- http://www.virtualegis.com/
90
Benjamin EGRET
ERID 2002
RESUME FRANÇAIS
Le développement conjugué de l’informatique et de l’Internet a engendré de nouveaux
problèmes juridiques ayant pour conséquence la violation des droits et libertés individuelles
des personnes. Dans la société de l’information, les données sont de véritables marchandises
et constituent des enjeux économiques très importants. En effet, les traces laissées par les
internautes à chaque connexion constituent une véritable mine d’informations et a incité les
principaux acteurs présents sur le Web à collecter l’ensemble de ces données. La collecte de
ces données peut prendre différentes formes mais consiste généralement en la création d’un
outil (logiciel) capable de récupérer les données d’un internaute afin notamment de pouvoir
retracer son itinéraire sur Internet ou de créer un profil d’utilisateur (cookies). D’autres
méthodes d’intrusion dans un système informatique peuvent prendre la forme d’un espiogiciel
ou d’un troyen. L’Etat lui-même sera tenté de ficher l’ensemble de la population.
MOTS CLES : Données personnelles / Collecte / Vie privée / Logiciels espions
The legal aspects of spywares
RESUME ANGLAIS
The combined development of computer science and Internet has generated new legal aspects
having as a consequence the violation of people’s rights and individual freedoms. In the
information society, the data are real goods and represent very important stakes. Actually, the
marks left by the surfers at each connection constitute a true mine of information and this has
encouraged the main actors present on the Web to collect all these data. This data collection
can take various forms but usually consists of the creation of a tool (software) able to retrieve
the data from a surfer in order to, notably, be able to lay out his itinerary on Internet or to
create a user profile (cookies). Other methods of intrusion in a system can take the shape of a
spyware or trojan. The State itself will be tempted to put the entire population on file.
KEYWORDS : Personal data / Collection / Private life / Spyware
91